Back to Blog

當「SafeTransfer」不再安全:QBridge 安全事件的教訓

Code Auditing
January 28, 2022
2 min read

1 月 28 日,QBridge 遭到攻擊,約 8,000 萬美元的資產被盜。經過分析,我們發現程式碼中的根本原因在於 safeTransfer(以及 safeTransferFrom)函數的實作方式。

根本原因

首先,該項目並未使用普及的 OpenZeppelin SafeERC20 函式庫來進行代幣轉帳,而是實作了一個名為 SafeToken 的函式庫。

其次,該實作未檢查目標是否為有效的合約(或是否為零地址)。

第三,EVM 的底層呼叫(low-level call)在目標合約為零時不會回傳 false。 這與開發者的常識相違背。

當然,此次事件還有其他原因,例如將零地址放入了白名單中。然而,如果程式碼能正確處理這種特殊情況,那麼它就不會存在漏洞。

順帶一提:市面上還有其他項目使用了類似的程式碼,它們可能也容易受到類似問題的影響。

實驗

為了驗證第三點(即當目標合約為零時,虛擬機不會回傳 false),我們開發了一個測試合約,如下所示:

執行 TestSafeTransfer.test() 不會觸發回滾(revert)。

教訓與如何降低風險

我們建議:

  • 除非有非常充分的理由,否則請使用普及的函式庫,不要嘗試「重新發明輪子」。
  • 在資產轉移前後檢查餘額,以確保轉移的資產數量符合預期。這同時也能避免通貨緊縮和通貨膨脹代幣帶來的問題。

關於 BlockSec

BlockSec 是一家領先的區塊鏈安全公司,於 2021 年由一群全球傑出的安全專家創立。公司致力於提高新興 Web3 世界的安全性和可用性,以促進其大規模採用。為此,BlockSec 提供智慧合約與 EVM 鏈安全審計服務、用於安全開發與主動阻斷威脅的 Phalcon 平台、用於資金追蹤與調查的 MetaSleuth 平台,以及協助 Web3 開發者在加密世界中高效探索的 MetaDock 擴充功能。

迄今為止,公司已服務超過 300 家知名客戶,如 MetaMask、Uniswap Foundation、Compound、Forta 和 PancakeSwap,並已獲得 Matrix Partners、Vitalbridge Capital 和 Fenbushi Capital 等頂級投資機構兩輪數千萬美元的融資。

官方網站:https://blocksec.com/

官方 Twitter 帳號:https://twitter.com/BlockSecTeam

Sign up for the latest updates
電子報 - 2026年6月
Security Insights

電子報 - 2026年6月

本月報告涵蓋2026年6月三起最大安全事件,確認損失合計約2200萬美元。一次精密蜜罐攻擊利用未受檢查的代幣授權,從JaredFromSubway的MEV機器人抽走約1500萬美元。兩個舊版Aztec rollup部署因證明結算邊界漏洞損失約435萬美元。SecondFi的Ed25519實現缺陷暴露錢包私鑰,導致374個錢包共損失約240萬美元。三起事件共同模式:表面完整但從未真正執行的安全保證。

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報
Security Insights

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報

本週區塊鏈安全報告涵蓋2026年6月22-28日兩起重大事件,以太坊和Cardano確認損失約410萬美元。Taiko橋接漏洞結合了外洩的SGX飛地簽名密鑰與不完整的認證策略,未能拒絕調試飛地,使攻擊者註冊惡意證明者並偽造L2狀態證明。SecondFi錢包漏洞源於Ed25519隨機數派生中的密碼學實現缺陷,移除了秘密輸入,可從Cardano公開交易數據離線恢復私鑰。

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報
Security Insights

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報

本週區塊鏈安全報告涵蓋2026年6月15日至21日,以太坊與BNB Chain共發生3起重大事件,總損失約1830萬美元。重點分析兩起事件:jaredFromSubway事件揭示反向授權攻擊模式——MEV機器人主動將資產授權給不可信第三方合約套利,攻擊者構造假包裝代幣與交易池,發出真實事件但從未消耗授權額度,損失約1500萬美元。Aztec三日內第二次漏洞:逃生艙ZK電路中`old_data_root`兩個見證值缺少相等約束,致使攻擊者可用偽造Merkle樹證明虛假票據所有權並通過鏈上驗證。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit