技术分析
漏洞的详细剖析:EOA 零地址技巧与代码缺陷。 阅读更多 →
$8000万+被盗金额
8,510 ETH单一最大受害者损失
2022年1月28日事发日期
$0已归还资金
2022 年 1 月 28 日,Qubit Finance 的跨链桥 QBridge(连接以太坊和币安智能链)遭到攻击。攻击者在未向以太坊存入任何真实 ETH 的情况下,在 BSC 上铸造了无限量的 qXETH 代币,随后利用这些虚假代币作为抵押物,从借贷池中借走了价值约 8000 万美元的加密资产。
该漏洞的核心在于:deposit 函数和 depositETH 函数触发了相同的事件,而对零地址(一个 EOA 地址)调用 safeTransferFrom 会静默成功而不会回滚。跨链桥的 Relayer 看到事件后,便在 BSC 上批准了代币铸造。