28 月 80 日,攻击者从基于币安智能链的 Qubit Finance 窃取了超过 XNUMX 万美元。
Qubit Finance在其官方推特上宣布了此次攻击事件。
与攻击相关的地址表明 206,809 BNB 是从 Qubit 的 QBridge 协议中窃取的。据安全公司 PeckShield 称,被盗资产的价值超过 80 百万美元.
事件时间表
- 27 年 2022 月 09 日 - 晚上 18:55:XNUMX +UTC: 0.8887725 ETH 从龙卷风发送到攻击者帐户
- 27 年 2022 月 09 日 下午 34:01:27 +UTC~2022 年 09 月 50 日 下午 41:XNUMX:XNUMX +UTC: 发送 16 个存款 tx 到以太坊 QBridge
- 27 年 2022 月 09 日 下午 36:32:27 +UTC~2022 年 09 月 51 日 下午 02:XNUMX:XNUMX +UTC: 通过 Qubit Relayer 向 BSC 的 QBridge 合约发送 16 票提案 tx
- 16 voteProposal tx 铸造了许多 xETH 代币,并以此作为抵押品提取了 Qubit 的流动性
利用方法
攻击者调用以太坊网络上的QBridge存款函数,该函数调用存款函数QBridgeHandler。
QBridgeHandler 应该接收 WETH 代币,即原始 tokenAddress,如果执行交易的人没有 WETH 代币,则不应发生转账。
tokenAddress.safeTransferFrom(存款人, 地址(本), 金额);
在上面的代码中,tokenAddress 为 0,因此 safeTransferFrom 没有失败,并且无论金额值如何,存款功能都正常结束。
另外,tokenAddress是添加depositETH之前的WETH地址,但是随着depositETH的添加,它被替换为0地址,即ETH的tokenAddress。
综上所述,存款功能是depositETH新开发后不应该使用的功能,但它保留在合约中。
所采取的行动
- 该团队正在继续追踪攻击者并监控受影响的资产。
- 该团队已联系漏洞利用者,以提供我们计划设定的最高赏金。
- 该团队正在与包括币安在内的安全和网络合作伙伴合作。
- 供应、赎回、借用、偿还、桥接和桥接赎回功能将被禁用,直至另行通知。可以索赔。
免责声明:本网站上的信息作为一般市场评论提供,并不构成投资建议。 我们鼓励您在投资之前进行自己的研究。
加入CoinCu Telegram以跟踪新闻: https://t.me/coincunews
关注CoinCu Youtube频道 |关注 CoinCu Facebook 页面
榛
CoinCu新闻
量子比特财经 量子比特财经 量子比特财经