[安全团队:TransitSwap事件新增3个套利机器人及2个攻击模仿者,已知被盗损失总计超2800万美元]根据TransitSwap官方通告,BSC链新增4个获利地址,ETH链新增1个获利地址,新增被盗资金357万美元,共计获利地址8个,被盗损失总计扩大至2884万美元。慢雾MistTrack与TransitSwap团队协作分析后得出结论,新增5个获利地址中有3个是套利机器人,而另外2个则是攻击模仿者。此前,慢雾通过情报发现套利机器人地址0xcfb0...7ac7。慢雾MistTrack仍在持续跟进此次事件,对新增获利地址的资金转移与黑客画像进行分析。
截止到目前,在各方的共同努力下,攻击黑客已将超 8 成的被盗资产退还到 Transit Swap 项目方地址,建议套利机器人所属人和攻击模仿者同样通过 service@transit.finance 或链上地址与 Transit Swap 取得联系,共同将此次被盗事件的受害用户损失降低到最小。
攻击黑客获利地址(已归还资金占总被盗资金约 83.6%):
0x75F2...FFD46 获利金额:约 2410 万美元
0xfa71...90fb
套利机器人获利地址:
1: 0xcfb0...7ac7(BSC) 获利金额:1,166,882.07 BUSD
2: 0x0000...4922(BSC) 获利金额:246,757.31 USDT
3: 0xcc3d...ae7d(BSC) 获利金额:584,801.17 USDC
4. 0x6C6B...364e(ETH) 获利金额:5,974.52 UNI、1,667.36 MANA
攻击模仿者获利地址:
1: 0x87be...3c4c(BSC) 获利金额:356,690.71 USDT
2: 0x6e60...c5ea(BSC) 获利金额:2,348,967.9 USDT
其它快讯:
安全团队:BNBChain上聚合DAO社区DAO Officials疑似被攻击:金色财经消息,派盾(PeckShield)监测显示,BNBChain上聚合DAO社区DAO Officials疑似被攻击,此外链上数据显示攻击者或获利逾50万美元。[2022/9/5 13:09:12]
Cobo安全团队详解Stargate漏洞:可能导致伪造的交易receipt通过MPT验证:3月29日消息,Cobo安全团队撰文对Stargate跨链桥底层协议LayerZero的安全漏洞进行分析,称原始漏洞代码在进行MPT 验证时,没有限制pointer 在proofBytes 长度内,这个漏洞有可能让攻击者伪造hashRoot,导致伪造的交易receipt 可以通过MPT 验证。最终可造成的后果是,在预言机完全可信的前提下,Relayer 仍可以单方面通过伪造receipt 数据的方式来实现对跨链协议的攻击。
值得注意的是,此次爆出漏洞的代码是LayerZero协议中最核心的MPT交易验证部分的代码,是整个LayerZero及上层协议(例如Stargate)正常运作的基石。Cobo安全团队还表示,LayerZero项目的关键合约目前大都还被EOA控制,没有采用多签机制或者时间锁机制。如果这些特权EOA的私钥一旦泄漏,也可能会导致所有上层协议的资产受到影响。[2022/3/29 14:24:49]
慢雾安全团队发布 BEC智能合约无限转币漏洞分析及预警:据了解,4月22日13时左右,BEC出现异常交易。慢雾安全团队第一时间分析发现,BEC智能合约(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的batchTransfer批量转账函数存在漏洞,攻击者可传入很大的value数值,使cnt*value后超过unit256的最大值使其溢出导致amount变为0。
通过此次分析,慢雾安全团队建议智能合约开发者在批量转账时严格校验转出总额amount是否大于0,及在for循环内执行balances[msg.sender].sub(value)操作。
这类漏洞属于不可逆的破坏型漏洞,慢雾安全团队建议其他智能合约发布方及时自查。[2018/4/23]
郑重声明: 安全团队:TransitSwap事件新增3个套利机器人及2个攻击模仿者,已知被盗损失总计超2800万美元版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。