技術分析
エクスプロイトの詳細な分析、EOAゼロアドレスのトリック、およびコードの脆弱性について。 詳しく読む →
$80M+盗難額
8,510 ETH単一被害者の最大損失額
2022年1月28日ハッキング発生日
$0返還された資金
2022年1月28日、Qubit FinanceのQBridge(EthereumとBinance Smart Chain間のクロスチェーンブリッジ)が悪用されました。攻撃者はEthereum上に実際のETHを預けることなく、BSC上で無制限のqXETHトークンを発行し、その偽のトークンを担保として約8,000万ドル相当の暗号資産を借り入れました。
この悪用は重大な脆弱性に起因しています:deposit関数とdepositETH関数が同一のイベントを発行し、ゼロアドレス(EOA)に対するsafeTransferFromの呼び出しがリバートせずに成功していました。ブリッジのリレイヤーはこのイベントを検知し、BSC上でのミントを承認してしまいました。