当前位置:bitpie钱包下载|官网APP|ETH和BTC区块链钱包|bitpie钱包 > 走进Bitpie > 正文
bitpie官网下载|乐观链堂吉诃德式项目黑客事件分
bitpie官网下载,bitpie钱包官网下载,bitpie官网地址下载,2022年7月1日,成都链安全链Bing-Blockchain安全态势感知平台舆情监测显示,乐观链堂吉诃德式项目遭到黑客攻击,黑客获利847 BNB。成都联安保安队对事件进行了分析,结果如下。
事件相关信息
据悉,Quixotic是一个可以使用ERC20代币和NFT进行买卖的平台。此次攻击后,平台所有市场活动已暂停。
攻击者地址
攻击者:
0x0a 0805082 ea 0 fc 8 BF DCC 6218 a 986 efda 6704 EFE 5
攻击者合同:
0 xbe 81 e abdbd 437 CBA 43 E4 C1 c 30 c 63022772 c 2520
攻击
0x cdfb 8 B3 CBE 85452192196713 f 371 E3 afdeb 908 c 3198 f 0 EEC 334 beff 9462 ab 5 df
0x 1 b 0 FD 785391 f 804 a 373575 ace 3 e 81 a 28 f 4a 35 ade 934 c 15 b 5 DC 62 ddf bbde 659 b 4
受攻击的合同:
0x 065 E8 a 87 b 8 f 11 aed 6 facf 9447 Abe 5 E8 C5 d 7502 b 6
#攻击过程
1.攻击者首先创建一个NFT攻击契约,如图所示。
2.因为用户过度授权ERC20令牌给ExchangeV4(被攻击的合约),而ExchangeV4合约存在漏洞。攻击者利用ExchangeV4合约的fillSellOrder函数创建NFT订单,通过向用户出售攻击合约中的NFT,将用户授权的令牌转移到ExchangeV4合约中。
3.攻击完成后,攻击者将窃取的资产转移给Tornado。现金
漏洞分析
这种攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定的事实,在交易中只验证卖方的签名就可以转账。因此,攻击者可以创建自己的NFT进行单边交易,并将虚假的NFT转让给用户,以交换ExchangeV4合约中用户授权的令牌。
在fillSellOrder函数中,攻击者可以指定出售的NFT地址,并且只验证攻击者的签名,而不验证买方的签名。然后攻击者可以通过验证,在调用_ fillselllorder函数时将攻击契约的NFT传递给买方,执行_ sendERC20 paymentswithroyalties函数将买方授权的er C20令牌传递给契约。
资金跟踪
到文章发表时,攻击者已经获利约847 BNB。目前,攻击者已将盗取的资金转移至Tornado。现金bitpie官网下载,bitpie钱包官网下载,bitpie官网地址下载
版权保护: 本文由 bitpie钱包下载|官网APP|ETH和BTC区块链钱包|bitpie钱包 原创,转载请保留链接: http://lonesomepineknives.com//News/156.html
