SWTC 充、提币服务开放_BIT:BlitzPredict

亲爱的Bit-Z用户：

SWTC充、提币服务已开放。

Bit-Z中文社区(Telegram)：https://t.me/bitzCN

Bit-Z中文社区(币用)：https://0.plus/bitzCN

安全团队：跨链DEX聚合器Transit Swap因任意外部调用问题被黑，被盗资金规模超2300万美元:10月2日消息，据慢雾安全团队情报，2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击，导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元，黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析：

1. 当用户在Transit Swap进行swap时，会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。

2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入，本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。

3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作，但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入，路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。

4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址，未对 calldata 数据进行具体检查。

5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据，此时兑换合约被指定为权限管理合约地址，兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。

此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查，导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。

截止到目前，黑客已将 2,500 BNB 转移到 Tornado Cash，剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现，黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]

Bit-ZCommunity(Telegram):?https://t.me/bitzEN

Bondly现已被添加到BakerySwap流动性矿池:据官方消息，Bondly和BakerySwap已达成战略合作，将在NFT市场、流动性挖矿和质押池方面共同发展。此次合作将允许通过定投和挖矿提供更多的质押服务，并提高BNB/BONDLY的流动性。

据了解，Bakeryswap是Binance智能链上的多合一DeFi平台，同时可提供AMM和NFT市场解决方案。用户可以交换代币，提供流动性并参与流动性挖矿。

Bondly是一种可互操作、透明、便捷的资产兑换协议，旨在彻底改变传统的资产托管方法，并使每个艺术创作人都能进入自己的数字市场，旗下产品包括BSwap（NFT发售平台）、BondlyLaunchPad（IDO平台）、BProtect（NFT交易平台)。[2021/5/22 22:31:43]

Bit-ZCommunity(BIYong):https://0.plus/bitzEN

SushiSwap创始人：MasterChef没有48小时时间锁定不能设置任何东西:有推特网友提问称：“对SushiSwap中还没有设置的迁移合约有什么看法？所有权转移到多签名（multisig）可能是在LP迁移之后发生的，这让Chef Nomi从明天起就可以随意地安排一个迁移合约。”对此SushiSwap创始人Chef Nomi回应称：“MasterChef合约所有权是时限，没有48小时的时间锁定我就不能设置任何东西。”此前消息， SushiSwap创始人Chef Nomi表示，合约审计已经完成，流动性迁移提案已获得社区批准。48小时后将可以进行迁移。[2020/9/5]

欢迎添加Bit-Z官方客服微信号，加入福利群。微信号：bitzcom666

感谢您对Bit-Z的支持！

Bit-Z团队

2018年9月06日

本文来源于非小号媒体平台：

BitZ

现已在非小号资讯平台发布956篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3601634.html

WTC

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

BKEX关于暂停DBUY充提功能的公告

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。