黑客的详细地址是0x75F2abA6a44580D7be2C4e42885D4a1917bFFD46。Hyperlab室依据区块链交易进行分析,本次攻击的主要原因是TransitSwap协议在进行代币交换时没有全面检查用户传输的信息,导致外部方可进行调用。
在使用TransitSwap进行交换时,用户会调用一个代理合约(0x8785bb8deae13783b24d7afe250d42ea7d7e9d72)。该代理合约将根据货币类型选择路径。然后路由器桥合约(0x0B47275E0Fe7D5054373778960c99FD24F59ff52)将调用管理权限合约(0xed1afc8c4604958c2f38a3408fa63b32e737c428)的claimtokens函数进行转账。而claimTokens函数将根据调用特定货币合约的transferFrom函数公式进行转账。它收到的主要参数来自顶层路由器桥合约,本来就没有对这些主要参数进行任何限定,只检查调用者是否为路由器代理合约或路由器桥合约。
网络攻击利用路由器代理合约、路由器桥合约和管理权限合约对传输信息进行安全检查不足。根据路由器代理合约传输的结构后数据信息,调用路由器桥合约的callBytes函数公式。该函数解析出网络攻击指定的交换合约与交换数据信息。在此时,交换合约被选定为管理权限合约的详细地址,交换数据信息被选定为调用claimTokens函数公式,将特定用户的货币转移到网络攻击指定地址。这样,网络攻击完成了对管理权限合约授权用户的全部货币的窃取。
Hyperlab室提醒,在跨合约的函数公式调用时,合约开发人员必须全面检查用户传输的信息,对其下层传输的参数进行恰当的校检。对TransitSwap用户来说,应停止使用TransitSwap,并提高自己对区块钱包安全防范意识,特别是对DEX的路由器授权管理权限要保持谨慎。
本文转载自驼鸟区块链。
公众号(进击的史迪仔)加密世界的多链并行的叙事还未停止——虽然很多 Builder 都在致力于构建高效率区块链底层协议,比如 Solana、Avalanche,但是事实告诉我们,单个区块链的容量是有极限的。只要日活跃用户...
原文作者:Karen,Foresight News在 DEX 交易时非常容易遭到 MEV(以太坊最大可提取价值)攻击,最常见的典型攻击抢先交易和三明治攻击,这类攻击经常会攫取交易者的利益。根据 EigenPhi 此前发布...
在传统式金融行业里,Swap通常就是指2个对等行为主体中间对她们分别拥有的金融衍生工具的权益的一种互换,多被作为自救目地。现如今,Swap早已发展趋势成为了一种金融信息服务专用工具,也是一种买卖彼此承诺在未来某限期相互交...
近日,Circle CEO 在推特上宣布,Circle 的跨链传输协议 (CCTP) 即将推出。尽管他并未明确公开上线时间,但按照 CCTP 路线路,距离用户可以体验该协议似乎并不遥远。CCTP 预计将在 2023...