bitpie App 提供安全、便捷的移动端数字资产服务,支持安卓(Google Play / Android APK)与苹果(iOS AppStore / TestFlight)等平台下载。

bitpie官网下载|乐观链堂吉诃德式项目黑客事件分

07-03 走进Bitpie

 bitpie官网下载,bitpie钱包官网下载,bitpie官网地址下载,2022年7月1日,成都链安全链Bing-Blockchain安全态势感知平台舆情监测显示,乐观链堂吉诃德式项目遭到黑客攻击,黑客获利847 BNB。成都联安保安队对事件进行了分析,结果如下。

 
 
 
事件相关信息
据悉,Quixotic是一个可以使用ERC20代币和NFT进行买卖的平台。此次攻击后,平台所有市场活动已暂停。
 
 
 
攻击者地址
 
攻击者:
 
0x0a 0805082 ea 0 fc 8 BF DCC 6218 a 986 efda 6704 EFE 5
 
攻击者合同:
 
0 xbe 81 e abdbd 437 CBA 43 E4 C1 c 30 c 63022772 c 2520
 
攻击
 
0x cdfb 8 B3 CBE 85452192196713 f 371 E3 afdeb 908 c 3198 f 0 EEC 334 beff 9462 ab 5 df
 
0x 1 b 0 FD 785391 f 804 a 373575 ace 3 e 81 a 28 f 4a 35 ade 934 c 15 b 5 DC 62 ddf bbde 659 b 4
 
受攻击的合同:
 
0x 065 E8 a 87 b 8 f 11 aed 6 facf 9447 Abe 5 E8 C5 d 7502 b 6
 
#攻击过程
1.攻击者首先创建一个NFT攻击契约,如图所示。
 
 
 
2.因为用户过度授权ERC20令牌给ExchangeV4(被攻击的合约),而ExchangeV4合约存在漏洞。攻击者利用ExchangeV4合约的fillSellOrder函数创建NFT订单,通过向用户出售攻击合约中的NFT,将用户授权的令牌转移到ExchangeV4合约中。
 
 
 
 
 
3.攻击完成后,攻击者将窃取的资产转移给Tornado。现金
 
 
 
漏洞分析
这种攻击主要利用了在ExchangeV4合约中创建的NFT订单地址可以被指定的事实,在交易中只验证卖方的签名就可以转账。因此,攻击者可以创建自己的NFT进行单边交易,并将虚假的NFT转让给用户,以交换ExchangeV4合约中用户授权的令牌。
 
在fillSellOrder函数中,攻击者可以指定出售的NFT地址,并且只验证攻击者的签名,而不验证买方的签名。然后攻击者可以通过验证,在调用_ fillselllorder函数时将攻击契约的NFT传递给买方,执行_ sendERC20 paymentswithroyalties函数将买方授权的er C20令牌传递给契约。
 
 
 
 
 
 
 
资金跟踪

到文章发表时,攻击者已经获利约847 BNB。目前,攻击者已将盗取的资金转移至Tornado。现金bitpie官网下载,bitpie钱包官网下载,bitpie官网地址下载

版权保护: 本文由 bitpie钱包下载|官网APP|ETH和BTC区块链钱包|bitpie钱包 原创,转载请保留链接: http://lonesomepineknives.com//News/156.html

Bitpie官网YeLongCu
比特派是全球领先的多链钱包,支持BTC/ETH/TRX/USDT等区块链资产。Bitcom致力于为全球用户提供安全的资产管理和丰富的区块链应用服务。有了Bitcom,用户可以在方便使用应用服务的同时,保证自己的资产100%由自己掌控。
  • 文章总数
  • 18865访问次数
  • 建站天数
  • 标签

    友情链接