10月2日,加密钱包Token Pocket旗下跨链去中心化聚合器 (DEX)Transit Swap因掉期合约的内部漏洞遭黑客利用,损失超过2100万美元。
被盗事件发生后,Transit Swap发声明表示,“我们深表歉意。”,“我们现在有很多有效信息,例如黑客的IP、电子邮件地址和相关的链上地址。我们将尽最大努力追踪黑客,并尝试与黑客沟通,帮助大家挽回损失。”
区块链安全机构派盾(Peckshield )和其他调查人员,包括SlowMist、Bitrace和TokenPocket一起加入了追查黑客的行列。派盾共享了被盗资产的流向,暗示黑客可能早已从LATOKEN等交易所提款。
目前,黑客已将2500BNB被盗资金转移到 Tornado Cash(以太坊链上的匿名转账协议,通过将用户的资金集中放到混合器中,从而允许转账地址之间的链接路径无法查询,达到保护用户转账隐私的目的。),剩余资金分散保留在黑客地址中。
钱包授权存在安全隐患
由于Transit Swap是TokenPocket钱包的闪兑服务提供商,这意味着有可能让授权过的用户在不知不觉中钱包“归零”。
慢雾分析,此次攻击的主要原因在于Transit Swap协议在进行代币兑换时并未对用户传入的数据进行严格检查,导致了任意外部调用的问题。具体而言,路由合约本身没有对transferFrom参数进行任何限制、也并未对解析后的兑换合约地址与调用数据进行检查。攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷,通过路由代理合约传入构造后的数据调用路由桥合约的callBytes函数,实现了窃取所有对权限管理合约进行授权的用户的代币。
什么是“闪兑”服务呢?不同于交易所那样撮合买方和卖方之间的订单,闪兑更像是24小时的柜台交易,是通过智能合约实现的去中心化币币兑换系统。用户通过简单的授权操作,实现不同代币的兑换。
TokenPocket的官方介绍是这样写的:
添加所需代币后,只需要在列表中选择已添加的代币和兑换目标代币,设置数量后点击“授权”即可进行聚合闪兑。
安全隐患就在这出现了,用户做了授权,智能合约就拥有转移用户加密资产的能力。
授权(Approve),就是允许另外一个账号(可以是普通的个人账号,也可以是智能合约账号),在不通知用户的前提下,使用用户的部分资产。它允许持有Token的用户,通过调用Approve方法,授权给指定账户一定额度,赋予该账户自由支配额度内Token的权力。如果授权给恶意账户,那么授权资产就会有极大风险。
被盗事件发生后,安全公司派盾表示,Transit Swap合约疑出现信任错误黑客归集资金地址为 :
0x75f2aba6a44580d7be2c4e42885d4a1917bffd46
意思是BSC钱包授权过此地址的,都有被盗风险,建议用户在BNB Chain和以太坊等链上即刻取消该合约授权。
如果用户操作过下图中的授权数量“无限授权”,这意味着对方在用户不知道的情况下,可以把某种资产全部转走。因此应该谨慎使用无限授权,使用有限授权,每次操作时用多少、授权多少,比如手动将Approve金额修改为10。
神鱼也在社交媒体上发文表示,呼吁一下项目方规范使用授权功能,用多少授权多少,不要无限授权,大家都放心;作为协议参与者,没事取消取消授权,换换地址,防止被一窝端。
取消钱包授权
麻烦的是,用户虽然可手动修改授权金额,但以太坊本身并不支持 “取消授权”。
关于此次Transit Swap被盗的后续,据慢雾安全团队情报,Transit Swap黑客转移用户BSC链BUSD资产时被套利机器人抢跑,区块高度为21816885,获利107万BUSD。套利机器人相关地址列表如下:0xa957...70d2;0x90b5...8ff4;0xcfb0...7ac7;
截至到目前,在各方的共同努力下,黑客已将70%左右的被盗资产退还到Transit Swap开发者地址,慢雾建议套利机器人所属人同样通过 service@transit.finance 或链上地址与Transit Swap取得联系,共同将此次被盗事件的受害用户损失降低到最小。
6个月前,慢雾科技创始人余弦写了一篇《区块链黑暗森林自救手册》。
文章里写道,区块链是个伟大的发明,它带来了某些生产关系的变革,让 “信任” 这种宝贵的东西得以部分解决。这已经很难得了,不需要中心化、不需要第三方角色,有些 “信任” 基于区块链就可以得到很好解决,不可篡改、按约定执行、防止抵赖。但,现实是残酷的,人们对区块链的理解会存在许多误区。这些误区导致了坏人轻易钻了空子,频繁将黑手伸进了人们的钱包,造成了大量的资金损失。这早已是黑暗森林。
意思是,区块链技术的诞生让我们认为,代码可以解决信任问题,没有人可以轻易将资产从我们的钱包中拿走。但现阶段,事实并非如此。黑客将手轻易地伸进用户的钱包,DeFi被盗事件频频发生;许多人找不到正确的官网,正确的应用市场,于是安装了假钱包,大量的代币永久丢失。
因此,我们应该始终“保持怀疑”,养成“持续验证”的习惯。
余弦给大家建议的安全原则还有:
关于加密资产安全,我们要规避的风险有很多,遇到不懂的知识一定要多方佐证,小心为上。#区块链#
在加密行业你想抓住下一波牛市机会你得有一个优质圈子,大家就能抱团取暖,保持洞察力。如果只是你一个人,四顾茫然,发现一个人都没有,想在这个行业里面坚持下来其实是很难的。
想抱团取暖,或者有疑惑的,欢迎加入我们——公众号:枯藤老树新芽
感谢阅读,我们下期再见!