台湾DeFi项目Numbers Protocol遭黑,官方建议用户断开连结

11月23日,台湾Defi 项目 Numbers Protocol 发布公告称,由于多链跨链桥出现问题,可能影响到其代币NUM ( ERC20 ) 的使用者,因此官方建议用户断开钱包连结,直到问题解决暂停使用这些服务。据悉,已有黑客透过该漏洞窃得1.3 万美元。

 Numbers Protocol 跨链桥出现问题

台湾项目Numbers Protocol 23 日发推表示,多链跨链桥出现严重问题,可能影响到其代币NUM (ERC20) 的用户。因此,官方建议「NUM 用户断开钱包与多链兑币的连接,并且在问题得到澄清之前不要使用这些服务。」

Numbers 是台湾非常著名的技术型团队,成立于2019 年5 月,旨在利用技术来保持数据的完整性、预防恶意窜改或是假新闻,合作对象包含非营利组织、英国与美国的主流媒体、以及刑事证据保存机构等,利用区块链与AI 的技术建立数据溯源系统,在GDPR 的时代,协助企业建立尊重个人资料使用权与控制权的服务系统。前的投资者包含hTC Exodus 以及最大的分散式交易所币安(Binance)。

攻击者透过漏洞获利1.3 万美元

资安团队PeckShield 以及慢雾,都有警示与解释此事件。慢雾分析是攻击者透过恶意合约,使得有授权跨链桥的用户,转出NUM 至指定地址;具体攻击过程如下:

  1. 攻击者创建了一个恶意攻击合约(0xa68cce),该合约的底层代币指向NUM 地址
  2. 接着调用Multichain 跨链桥Router 合约中的anySwapOutUnderlyingWithPermit 函数,导致受害者地址的NUM 最终可以被转出到指定的攻击合约中
  3. 接着攻击者将获利的NUM 通过Uniswap 换成USDC 再换成ETH 获利;此次攻击的主要原因在于NUM 中没有permit 函数且具有回调功能,所以可以传入假签名欺骗跨链桥,导致用户资产被非预期转出。

据慢雾安全团队分析,攻击者共获利约13,836 美元。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。