BTC

$60854.492

-3.35%

ETH

$2912.878

-4.08%

BNB

$587.589

-1.05%

XRP

$0.504

-2.45%

新闻

Qubit Finance 遭黑客攻击并被盗 80 万美元

28 年 2022 月 XNUMX 日 - 前后 2 分钟 分钟阅读
量子比特金融
Qubit Finance 遭黑客攻击并被盗 80 万美元 3

28 月 80 日,攻击者从基于币安智能链的 Qubit Finance 窃取了超过 XNUMX 万美元。

Qubit Finance在其官方推特上宣布了此次攻击事件。

https://twitter.com/QubitFin/status/1486870238591594497

与攻击相关的地址表明 206,809 BNB 是从 Qubit 的 QBridge 协议中窃取的。据安全公司 PeckShield 称,被盗资产的价值超过 80 百万美元.

https://twitter.com/peckshield/status/1486841239450255362

事件时间表

  • 27 年 2022 月 09 日 - 晚上 18:55:XNUMX +UTC: 0.8887725 ETH 从龙卷风发送到攻击者帐户
  • 27 年 2022 月 09 日 下午 34:01:27 +UTC~2022 年 09 月 50 日 下午 41:XNUMX:XNUMX +UTC: 发送 16 个存款 tx 到以太坊 QBridge
  • 27 年 2022 月 09 日 下午 36:32:27 +UTC~2022 年 09 月 51 日 下午 02:XNUMX:XNUMX +UTC: 通过 Qubit Relayer 向 BSC 的 QBridge 合约发送 16 票提案 tx
  • 16 voteProposal tx 铸造了许多 xETH 代币,并以此作为抵押品提取了 Qubit 的流动性

利用方法

攻击者调用以太坊网络上的QBridge存款函数,该函数调用存款函数QBridgeHandler。

QBridgeHandler 应该接收 WETH 代币,即原始 tokenAddress,如果执行交易的人没有 WETH 代币,则不应发生转账。

tokenAddress.safeTransferFrom(存款人, 地址(本), 金额);

在上面的代码中,tokenAddress 为 0,因此 safeTransferFrom 没有失败,并且无论金额值如何,存款功能都正常结束。

另外,tokenAddress是添加depositETH之前的WETH地址,但是随着depositETH的添加,它被替换为0地址,即ETH的tokenAddress。

综上所述,存款功能是depositETH新开发后不应该使用的功能,但它保留在合约中。

量子比特金融
Qubit Finance 遭黑客攻击并被盗 80 万美元 4

所采取的行动

  • 该团队正在继续追踪攻击者并监控受影响的资产。
  • 该团队已联系漏洞利用者,以提供我们计划设定的最高赏金。
  • 该团队正在与包括币安在内的安全和网络合作伙伴合作。
  • 供应、赎回、借用、偿还、桥接和桥接赎回功能将被禁用,直至另行通知。可以索赔。

免责声明:本网站上的信息作为一般市场评论提供,并不构成投资建议。 我们鼓励您在投资之前进行自己的研究。

加入CoinCu Telegram以跟踪新闻: https://t.me/coincunews

关注CoinCu Youtube频道 |关注 CoinCu Facebook 页面

CoinCu新闻

量子比特财经 量子比特财经 量子比特财经

新闻

Qubit Finance 遭黑客攻击并被盗 80 万美元

量子比特金融
Qubit Finance 遭黑客攻击并被盗 80 万美元 7

28 月 80 日,攻击者从基于币安智能链的 Qubit Finance 窃取了超过 XNUMX 万美元。

Qubit Finance在其官方推特上宣布了此次攻击事件。

https://twitter.com/QubitFin/status/1486870238591594497

与攻击相关的地址表明 206,809 BNB 是从 Qubit 的 QBridge 协议中窃取的。据安全公司 PeckShield 称,被盗资产的价值超过 80 百万美元.

https://twitter.com/peckshield/status/1486841239450255362

事件时间表

  • 27 年 2022 月 09 日 - 晚上 18:55:XNUMX +UTC: 0.8887725 ETH 从龙卷风发送到攻击者帐户
  • 27 年 2022 月 09 日 下午 34:01:27 +UTC~2022 年 09 月 50 日 下午 41:XNUMX:XNUMX +UTC: 发送 16 个存款 tx 到以太坊 QBridge
  • 27 年 2022 月 09 日 下午 36:32:27 +UTC~2022 年 09 月 51 日 下午 02:XNUMX:XNUMX +UTC: 通过 Qubit Relayer 向 BSC 的 QBridge 合约发送 16 票提案 tx
  • 16 voteProposal tx 铸造了许多 xETH 代币,并以此作为抵押品提取了 Qubit 的流动性

利用方法

攻击者调用以太坊网络上的QBridge存款函数,该函数调用存款函数QBridgeHandler。

QBridgeHandler 应该接收 WETH 代币,即原始 tokenAddress,如果执行交易的人没有 WETH 代币,则不应发生转账。

tokenAddress.safeTransferFrom(存款人, 地址(本), 金额);

在上面的代码中,tokenAddress 为 0,因此 safeTransferFrom 没有失败,并且无论金额值如何,存款功能都正常结束。

另外,tokenAddress是添加depositETH之前的WETH地址,但是随着depositETH的添加,它被替换为0地址,即ETH的tokenAddress。

综上所述,存款功能是depositETH新开发后不应该使用的功能,但它保留在合约中。

量子比特金融
Qubit Finance 遭黑客攻击并被盗 80 万美元 8

所采取的行动

  • 该团队正在继续追踪攻击者并监控受影响的资产。
  • 该团队已联系漏洞利用者,以提供我们计划设定的最高赏金。
  • 该团队正在与包括币安在内的安全和网络合作伙伴合作。
  • 供应、赎回、借用、偿还、桥接和桥接赎回功能将被禁用,直至另行通知。可以索赔。

免责声明:本网站上的信息作为一般市场评论提供,并不构成投资建议。 我们鼓励您在投资之前进行自己的研究。

加入CoinCu Telegram以跟踪新闻: https://t.me/coincunews

关注CoinCu Youtube频道 |关注 CoinCu Facebook 页面

CoinCu新闻

量子比特财经 量子比特财经 量子比特财经

访问 88 次,今天 1 次访问