TokenPocket支持的跨链交易聚合器TransitSwap宣布正式重启,新合约完全开源,合约安全审计由慢雾科技完成。新合约将优化合约用户审批,去掉单独的模块来管理用户审批,采用白名单机制,减少外部调用的权限,从而使得合约更安全。TransitSwap网页端正式支持K线、资金池等交易内容展示,优化用户交易体验,帮助用户更全面分析交易数据,丰富交易信息。此外还推出最高100万美金的安全漏洞奖励。同时,TransitSwap推出Transit安全基金,将TransitSwap每月收入的10%注入安全基金,用于有效防范安全事件的发生。
安全团队:跨链DEX聚合器Transit Swap因任意外部调用问题被黑,被盗资金规模超2300万美元:10月2日消息,据慢雾安全团队情报,2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击,导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元,黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析:
1. 当用户在Transit Swap进行swap时,会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。
2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入,本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。
3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作,但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入,路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。
4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址,未对 calldata 数据进行具体检查。
5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据,此时兑换合约被指定为权限管理合约地址,兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。
此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查,导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。
截止到目前,黑客已将 2,500 BNB 转移到 Tornado Cash,剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现,黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]
本月初,TransitSwap被黑客盗取约2890万美元,后续TransitSwap联合全球各安全团队为用户追回2400万美金,实际损失约490万美金,TransitSwap官方已全额补偿给用户。据悉,在被黑客攻击前,TransitSwap一度成为全球月活前四的聚合交易平台,月活用户数达7万以上。
观点:Band Protocol和Kava的增长证明市场对跨链DeFi的需求强劲:近几个月来,非以太坊DeFi解决方案增长强劲。由于投资者希望将其代币进行质押 ,BAND 50%的流通供应仅在一天内就从交易所撤出。在提高债务上限的决议通过30秒后,Kava的最新债务上限被触及。以太坊仍然是最具流动性和使用量最大的DeFi底层,但竞争对手正在慢慢蚕食其市场份额。Band Protocol和Kava的吸引力增加证明人们对跨链DeFi的需求强劲。
不过,在采用方面,Band Protocol要与Chainlink完全对等,还有很长的路要走。就Kava而言,在该平台上铸造的USDX仅为MakerDAO上DAI铸造量的1.7%。虽然跨链竞争对手的规模还不足以挑战现有的优胜者,但它们正在取得广泛进展,不应被低估。(Cryptobriefing)[2020/8/6]
跨链DeFi项目Kava锁仓资产超过1100万美元:金色财经报道,据Kava Bigdipper浏览器显示,Kava的DeFi平台目前锁定了66万BNB,总锁定资产价值超过1100万美元,铸造的USDX价值接近300万美元。目前就总锁仓量(TVL)而言,Kava已跻身DeFi协议前15名,超越Kyber、Lightning Network、Uniswap等平台锁仓量。
Kava是一个支持多资产抵押的跨链DeFi协议,支持主流数字资产的抵押及稳定币贷款服务。[2020/7/18]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。