11月23日，台湾Defi 项目 Numbers Protocol 发布公告称，由于多链跨链桥出现问题，可能影响到其代币NUM ( ERC20 ) 的使用者，因此官方建议用户断开钱包连结，直到问题解决暂停使用这些服务。据悉，已有黑客透过该漏洞窃得1.3 万美元。

 Numbers Protocol 跨链桥出现问题

台湾项目Numbers Protocol 23 日发推表示，多链跨链桥出现严重问题，可能影响到其代币NUM (ERC20) 的用户。因此，官方建议「NUM 用户断开钱包与多链兑币的连接，并且在问题得到澄清之前不要使用这些服务。」

Numbers 是台湾非常著名的技术型团队，成立于2019 年5 月，旨在利用技术来保持数据的完整性、预防恶意窜改或是假新闻，合作对象包含非营利组织、英国与美国的主流媒体、以及刑事证据保存机构等，利用区块链与AI 的技术建立数据溯源系统，在GDPR 的时代，协助企业建立尊重个人资料使用权与控制权的服务系统。前的投资者包含hTC Exodus 以及最大的分散式交易所币安(Binance)。

攻击者透过漏洞获利1.3 万美元

资安团队PeckShield 以及慢雾，都有警示与解释此事件。慢雾分析是攻击者透过恶意合约，使得有授权跨链桥的用户，转出NUM 至指定地址;具体攻击过程如下：

1. 攻击者创建了一个恶意攻击合约（0xa68cce），该合约的底层代币指向NUM 地址
2. 接着调用Multichain 跨链桥Router 合约中的anySwapOutUnderlyingWithPermit 函数，导致受害者地址的NUM 最终可以被转出到指定的攻击合约中
3. 接着攻击者将获利的NUM 通过Uniswap 换成USDC 再换成ETH 获利；此次攻击的主要原因在于NUM 中没有permit 函数且具有回调功能，所以可以传入假签名欺骗跨链桥，导致用户资产被非预期转出。

据慢雾安全团队分析，攻击者共获利约13,836 美元。

本文链接地址：https://www.wwsww.cn/DeFi/14647.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。