过程
1、2021 年 5 月 14 日晚间(May-14-2021 10:00:45 AM +UTC),QIAN 社区和开发团队发现 QIAN V2 页面数据显示异常, 经技术排查发现,主合约 Vault
里的资产大量减少, 经分析,发现多笔非正常大额 USDT、BUSD 回购。
2、攻击发生以后,QIAN 技术团队立即停止了 QIAN V2 全局功能,目前铸币、销毁、回购、再抵押、DBQ、KBT-->KUN 等功能均已停止,挖矿相关功能正常运行。
3、经过技术分析,在 QIAN V2 合约的 Valut.updateCollateralToken
方法遗漏了 onlyOwner 权限校验,攻击者直接调用该接口,将 BUSD, USDT, BNB, CAKE 抵押币种的预言机更改为攻击者自己的预言机, 从而修改了系统抵押物的喂价, 之后通过 Vault.buyback
接口以少量的 KUN
代币回购了大量的抵押物。
4、攻击者使用的地址为:0x858ecda64afaaa0241f9ae1aa932b3a6e41c0406
损失
本次攻击事件共造成以下损失:
-
740280.92 BUSD + 35625.91 BUSD = 775,906.83 BUSD
-
65537.2 USDT + 3109 USDT = 68,646.2 USDT
-
101.779 BNB + 5.07 BNB = 106.84 BNB
共计加密资产价值约 908,657 USD, 目前攻击者都已通过 renBTC 跨链和 Tornado.cash 混币进行了转移。
应对
目前系统内的可赎回资产已经不足, 为了系统能够恢复运转, QIAN 开发团队将采取下面的措施来修复系统:
-
设置再抵押奖励为 1.5%
-
允许 KBT 无条件 1:1 兑换为 KUN
-
在安全团队 CertiK 完成代码紧急审计以后开放系统相关功能
短期来看, 这可能会对平台运营产生一定的影响, 但是只要项目能够恢复运转, 平台的价值回归只是时间问题。
后续
我们强烈谴责本次攻击事件,黑客的攻击行为对系统造成了重大的损失,属于典型的互联网犯罪。我们将联合社区力量追踪被盗资金的流向,并尝试定位攻击者的身份。QIAN 团队将尝试一切途径追讨被盗资金。目前对黑客的身份定位已经有了一定的进展,如果黑客看到了本公告,请及时与我们联系并归还被盗资金。
目前系统处于全局停机状态, 项目代码正在进行二次审计, 审计完成后会重新开放。后续社区开发人员将邀请更多专业的安全审计机构进行交叉审计, 并及时发布审计报告确保后续主合约、挖矿合约的稳定性和安全性。