Купить криптовалюту
Оплатить в
USD
Купить и Продажа
HOT
Покупайте и продавайте криптовалюту через Apple Pay, карты, Google Pay, банковские переводы и т. д
P2P
0 Fees
Нулевые комиссии, более 400 способов оплаты и простая покупка и продажа криптовалюты
Gate Card
Криптовалютная платежная карта, обеспечивающая бесперебойные глобальные транзакции.
Торговля
Основа
Спот
Торгуйте криптовалютой свободно
Маржа
Увеличьте свою прибыль с помощью кредитного плеча
Конвертация и блочная торговля
0 Fees
Торгуйте любым объемом без комиссий и проскальзываний
Токены с кредитным плечом
Получите простой доступ к позициям с кредитным плечом
Премаркет
Торгуйте новыми токенами до их официального листинга
Фьючерсы
Фьючерсы
Сотни контрактов, рассчитанных в USDT или BTC
Опционы
HOT
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Начало фьючерсов
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Участвуйте в мероприятиях и выигрывайте щедрые награды
Демо-торговля
Используйте виртуальные средства для торговли без риска
Earn
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Launchpad
Будьте готовы к следующему крупному токен-проекту
Alpha Points
NEW
Торгуйте ончейн активами и получайте награды аирдропа!
Фьючерсные баллы
NEW
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Покупайте дешево и продавайте дорого, чтобы получить прибыль от колебаний цен
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
VIP-центр богатства
Настроенное вами управление капиталом способствует росту ваших активов
Управление частным капиталом
Индивидуальное управление активами для роста ваших цифровых активов
Количественный фонд
Лучшая команда по управлению активами поможет вам получить прибыль без лишних хлопот
Стейкинг
Делайте стейкинг криптовалюты, чтобы заработать на продуктах PoS
Умное плечо
NEW
Без принудительной ликвидации до погашения, беззаботный прирост с кредитным плечом
Минтинг GUSD
Используйте USDT/USDC чтобы минтить GUSD для доходности на уровне казначейских облигаций
Еще
Популярные темы
Подробнее23.49K Популярность
27.61K Популярность
23.48K Популярность
17.32K Популярность
103.82K Популярность
Закрепить
Потери превысили 26 миллионов долларов США: анализ инцидента безопасности Truebit Protocol и отслеживание потока украденных средств
null
Автор: Beosin
9 января рано утром протокол Truebit Protocol подвергся атаке на неоткрытые смарт-контракты, развернутые 5 лет назад, в результате которой было потеряно 8 535,36 ETH (примерно на 26,4 миллиона долларов США). Команда безопасности Beosin провела анализ уязвимостей и отслеживания средств по данному инциденту и поделилась результатами ниже:
Анализ методов атаки
В этом случае мы рассматриваем наиболее значительную транзакцию атаки, хеш транзакции: 0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014
Атакующий вызвал getPurchasePrice() для получения цены
Затем вызвал функцию с дефектом 0xa0296215(), установив значение msg.value очень маленьким
Поскольку контракт не был открыт, по обратной разработке кода предполагается, что эта функция содержит арифметическую уязвимость, такую как проблема с целочисленным усечением, что позволило злоумышленнику успешно создать большое количество токенов TRU.
Этот процесс повторялся 4 раза, каждый раз увеличивая значение msg.value, пока не было практически полностью выведено ETH из контракта.
Отслеживание украденных средств
Согласно данным транзакций в блокчейне, команда Beosin с помощью собственной платформы расследования и отслеживания средств BeosinTrace провела подробное отслеживание средств и поделилась результатами ниже:
На данный момент украденные 8 535,36 ETH были переведены и в основном хранятся на адресах 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 и 0x273589ca3713e7becf42069f9fb3f0c164ce850a.
Адрес 0xd12f владеет 4 267,09 ETH, а адрес 0x2735 — 4 001 ETH. Адрес злоумышленника (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) также содержит 267,71 ETH. Три адреса пока не осуществили дальнейшие переводы средств.
Диаграмма анализа потоков украденных средств by Beosin Trace
Все указанные адреса были помечены командой Beosin KYT как высокорискованные. В качестве примера возьмем адрес злоумышленника:
Beosin KYT
Заключение
Украденные средства связаны с неоткрытым смарт-контрактом, развернутым 5 лет назад. Для таких контрактов проектные команды должны обновлять контракт, вводить функции экстренной остановки, ограничение параметров и использовать новые версии безопасных функций Solidity. Кроме того, аудит безопасности остается важнейшим этапом. Проведение аудита позволяет Web3-компаниям максимально полно выявлять потенциальные уязвимости в коде смарт-контрактов, обнаруживать и исправлять их, повышая безопасность контрактов.
*Beosin подготовит полный аналитический отчет о потоках средств и рисках адресов, а также предоставит его по официальной электронной почте support@beosin.com.