台灣 Defi 區塊鏈新創項目 Numbers Protocol 今日下午發推表示,他們發現其跨鏈橋出現嚴重問題,建議用戶斷開錢包連結,直到釐清問題。據悉攻擊者目前已成功得手 1.3 萬美元。
(事件背景:FTX 破產官方認證台灣為「第五大重災區」,僅次英國、新加坡、韓國…)
(背景補充:必讀資安指南》CEX 紛紛暴雷,如何保障你的加密貨幣資產安全?)
旨在利用區塊鏈技術來保持數據完整性、預防假新聞的台灣項目 Numbers Protocol,今日下午發推表示,他們發現其多鏈跨鏈橋出現嚴重問題,可能會影響到其發行的 ERC20 代幣 $NUM 的使用者。官方寫道:
建議 NUM 用戶斷開錢包與多鏈兌幣的連接,並且在問題得到澄清之前不要使用這些服務。
我們會盡快更新進度。
[Official Announcement]
We were made aware of a critical issue with the multi-chain bridge that may affect ERC20 NUM users.Suggest NUM users disconnect wallet to multi-chain swaps & do not use those services until the issue is clarified.
We will update the progress shortly. pic.twitter.com/EeS1mXvVRw
— Numbers Protocol (@numbersprotocol) November 23, 2022
攻擊者透過惡意合約獲利 1.3 萬美元
據慢霧安全團隊分析,攻擊者共獲利約 13,836 美元,具體攻擊過程如下:
- 攻擊者創建了一個惡意攻擊合約(0xa68cce),該合約的底層代幣指向 NUM 地址
- 接著調用 Multichain 跨鏈橋 Router 合約中的 anySwapOutUnderlyingWithPermit 函數,導致受害者地址的 NUM 最終可以被轉出到指定的攻擊合約中
- 接著攻擊者將獲利的 NUM 通過 Uniswap 換成 USDC 再換成 ETH 獲利;此次攻擊的主要原因在於 NUM 中沒有 permit 函數且具有回調功能,所以可以傳入假簽名欺騙跨鏈橋,導致用戶資產被非預期轉出。
📍相關報導📍
pGALA 增發10億鎂》慢霧科技追因:管理員私鑰在 GitHub 洩露