Chain:跨链交易协议THORChain被攻击事件分析_AIN

北京时间7月23日,去中心化跨链交易协议?THORChain(RUNE)再次遭遇攻击,包括XRUNE在内的多种ERC20代币受到影响,涉及损失约800万美元。THORChain已是一个月内第三次受到攻击,此前在7月16日遭受攻击,损失约4000ETH;在6月29日遭受恶意攻击,损失14万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

Layer2去中心化交易所DeversiFi将推出跨链交易新功能:6月8日消息,Layer2去中心化交易所DeversiFi正在为DeFi用户推出一项允许用户跨多个链进行交易的新功能。其创始人Will Harborne表示,将通过首先整合Polygon来构建其跨链功能,并在未来几个月内整合Avalanche、BNB Chain、Optimism和Arbitrum。

为了促进此次升级,DeversiFi与去中心化交易所(DEX)聚合器ParaSwap合作,帮助用户将USDT或USDC代币转换为Polygon的代币,以在DeversiFi内交易。(CoinDesk)[2022/6/8 4:10:17]

一、事件分析

Connext在测试网上线通用跨链交易协议NXTP:以太坊 Layer2互操作性协议Connext宣布现已在测试网上线其通用的跨链交易协议NXTP,包括Goerli、Rinkeby、Optimism-kovan、Arbitrum-rinkeby和Mumbai。NXTP主要用于完全非托管的跨链传输和合约调用,将取代现有的二层转账系统Vector进行跨链交易,会在未来三周内正式推出,之后还将支持以太坊、Arbitrum、Optimism、Polygon、Fantom、xDai和币安智能链以及更多与EVM兼容的系统。目前,NXTP已完成两轮合约审计,正在进行最终审计,包括合约和链下系统。[2021/8/7 1:40:18]

攻击交易:https://etherscan.io/tx/0xce958939ba23771d0a0b80532c463b4cbbb175f4d14c08d9d27dd251f68a5da1

比特币中国创始人杨林科:加密交易者可以在Class ZZ进行无缝跨链交易:比特币中国创始人杨林科表示,各种公链相继成熟,跨链交易是行业的刚性需求,这意味着加密交易者可以在Class ZZ进行无缝跨链交易,让用户交易体验更好,未来会越来越多的被广泛应用,帮助解决全球金融现状。比特币中国此次对Class ZZ(CZZ)的战略投资,将在业务整合、资源对接和业务发展层面不断助推Class ZZ(CZZ)发展。[2021/4/25 20:56:08]

图1攻击者攻击THORChainRouter获取XRUNE代币

攻击者调用THORChainRouter合约的transferOut函数向攻击者转了一笔数量为amount的代币,代币的类型由asset的类型来确定,转账的sender为THORChainRouter的合约地址。

图2?THORChainRouter合约的TransferOut函数

图3?通过TransferOut函数牟利Sushi币

攻击者之所以可以实现这样的攻击,是因为THORChainRouter合约的TransferOut函数漏洞导致--使用asset.call(abi.encodeWithSignature("transfer(address,uint256)",to,amount))语句进行转账;

图4?YFI.sol中的transfer

图5?FiatToken.sol中的transfer

图6?XRUNE.sol中的transfer?

在使用call函数时,msg.sender的值为THORChainRouter地址,执行环境为被调用者的运行环境,因此会调用asset代币合约中的transfer函数,向接收者转出代币。而此次攻击者攻击THORChainRouter合约牟利的六种代币合约中,实现转账的函数均为"transfer(address,uint256)"这种形式,这也使得攻击者有可乘之机。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:0ms0-6:904ms