1. 事件回顾
2024 年 8 月 26 日 15:00(UTC+8),Tokenlon 质量保证团队在例行安全检查中,发现可疑地址进行异常交易:
- 可疑地址: 0xBa37cA397fC63b9FF6674220C4fBaa516b66bAF4
- 可疑交易: https://etherscan.io/tx/0xfc6765d71ed1f9081318793fbc89f3373e9407de075d8d1f0bb15cb4c34010eb
团队立即展开紧急排查和处理,目前情况如下:
- 用户资产安全,不受影响
- 正与攻击者保持沟通
- Tokenlon 协议已暂停 RFQ v2 合约
- Tokenlon 其他币币兑换业务正常进行
2. 当前进展
- 后端已关闭 RFQ v2 系统
- RFQ v2 智能合约已暂停运行
- 已通知所有做市商暂停对 RFQ v2 系统报价
3. 影响评估
- Tokenlon RFQ V2 协议手续费损失: 149.059637215189 ETH (约 39.8 万美元,按 8 月 26 日汇率)
- PMM V5、RFQ V1、AMM 合约安全无风险
- 做市商和用户资产未受影响
4. 事件分析
攻击者信息
- 攻击者地址: 0xba37ca397fc63b9ff6674220c4fbaa516b66baf4
- 攻击合约 (假 taker 与假 maker): 0x15665fce53b51d798ed838b8e5185cebc2043ffc
- 攻击交易:
https://app.blocksec.com/explorer/tx/eth/0x35747db8e6aa2cf851abb10fdd43544793042d5b02714936372a8a36246068c1
攻击受影响范围
- 此次攻击事件发生在 Tokenlon v5 的 RFQv2 合约中,漏洞源于在将代币从做市商转移到 RFQv2 合约的过程中,未能区分 ETH 和 ERC20 代币的转账类型。这导致在某些情况下,攻击者可以伪装成做市商,利用 ETH 进行交易,从而在未实际转入 ETH 的情况下,转走 RFQv2 合约中的协议手续费。本次事件的影响范围仅限于 RFQv2 合约中的协议手续费,不会波及正常用户和做市商。正常用户仍然可以使用 ETH 进行交易,而我们的做市商仅使用 ERC20 代币进行做市,因此,整体影响范围是可控的。
攻击交易概要
攻击者共发起 9 笔攻击交易,利用合约漏洞获取了协议手续费。这些交易的哈希值已记录,可供进一步调查。
- 0x35747db8e6aa2cf851abb10fdd43544793042d5b02714936372a8a36246068c1
- 0x164c72c596d6c9c53258cfa9145e1e33174aee0f125a23fb2c4378e52e625b14
- 0x309a06b40e893b58609bcef1b9e363c364664c7bd9464ae8b07e30d170b75167
- 0xdcc564591f3f71d8e9af40347cb20c1ec8b4b8f69460bbeba76600ac42824799
- 0x08bba63554cd84dfdef5eb6704bc70f896b1fcf40511aa6fc01122c9d669d4f7
- 0xed91ff3f8333ada4935d7e7c30b40c0729c5812f9a242113fdd9f831e77b6aaf
- 0xada3c67e067d8aa6089d4de226ee52fe90e28e25ecbc894ee0de714e09759b34
- 0xeb45b1cdb89b953448e30238efd0d906a7e6c74fa80e585426ceedaefab1be6d
- 0xfc6765d71ed1f9081318793fbc89f3373e9407de075d8d1f0bb15cb4c34010eb
5. 后续行动计划
- 继续与执法部门合作,追踪攻击者
- 对 RFQ v2 系统进行全面安全审计
- 开发并部署安全补丁
- 在确保合约审计安全的前提下,制定 RFQ v2 系统重启计划
- 加强整体系统的安全监控措施
6. 用户及合作伙伴告知
Tokenlon 团队正全力处理此次事件,确保系统安全稳定运行。如有任何疑问,请通过以下方式联系我们:
- 电子邮件: support@tokenlon.im
- 官方 Twitter: @tokenlon