Qubit Finance был взломан и украден 80 миллионов долларов
28 января злоумышленники украли более 80 миллионов долларов у Qubit Finance, базирующейся на Binance Smart Chain.
Qubit Finance сообщила об этой атаке в своем официальном Twitter.
Адреса, связанные с атакой, свидетельствуют о том, что 206,809 BNB были украдены из протокола Qubit QBridge. По данным охранной компании PeckShield, стоимость украденных активов превышает $ 80 миллионов.
Хронология инцидента
- 27 января 2022 г., 09:18:55 +UTC: 0.8887725 ETH отправлено с торнадо на аккаунт злоумышленника
- 27 января 2022 г., 09:34:01 +UTC~27 января 2022 г., 09:50:41 +UTC: Отправлено 16 депозитных переводов на QBridge of Ethereum.
- 27 января 2022 г., 09:36:32 +UTC~27 января 2022 г., 09:51:02 +UTC: Отправлено 16 голосов. Предложение по контракту QBridge BSC от Qubit Relayer.
- Некоторое количество токенов xETH было выпущено 16 voiceProposal tx, и ликвидность в Qubit была выведена с использованием этого в качестве залога.
Метод эксплойта
Злоумышленник вызвал функцию депозита QBridge в сети Ethereum, которая вызывает функцию депозита QBridgeHandler.
QBridgeHandler должен получить токен WETH, который является исходным tokenAddress, и если у человека, выполнившего передачу, нет токена WETH, передача не должна произойти.
tokenAddress.safeTransferFrom(вкладчик, адрес(это), сумма);
В приведенном выше коде tokenAddress равен 0, поэтому SafeTransferFrom не завершился сбоем, и функция депозита завершилась нормально независимо от значения суммы.
Кроме того, tokenAddress был адресом WETH до добавления депозита ETH, но по мере добавления депозита он заменяется нулевым адресом, который является адресом токена ETH.
Подводя итог, можно сказать, что функция депозита — это функция, которую не следует использовать после новой разработки депозита ETH, но она осталась в контракте.
Принятые меры
- Команда продолжает отслеживать злоумышленника и контролировать затронутые активы.
- Команда связалась с эксплуататором и предложила максимальную награду, установленную нашей программой.
- Команда сотрудничает с партнерами по безопасности и сети, включая Binance.
- Функции «Поставка», «Погашение», «Заимствование», «Погашение», «Мост» и «Погашение моста» отключены до дальнейшего уведомления. Претензия доступна.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Информация на этом веб-сайте представлена в качестве общего комментария к рынку и не представляет собой инвестиционный совет. Мы рекомендуем вам провести собственное исследование, прежде чем инвестировать.
Присоединяйтесь к CoinCu Telegram, чтобы следить за новостями: https://t.me/coincunews
Следите за каналом CoinCu на YouTube | Следите за страницей CoinCu в Facebook
орешник
Новости CoinCu
Кубит Финанс Кубит Финанс Кубит Финанс