612 天前
据慢雾安全团队情报,2023 年 2 月 3 日,Orion Protocol 项目的 ETH 和 BSC 链上的合约遭到攻击,攻击者获利约 302.7 万美元。慢雾安全团队以简讯的形式分享如下:
1. 攻击者首先调用 ExchangeWithAtomic 合约的 depositAsset 函数进行存款,存入 0.5 个 USDC 代币为下面的攻击作准备;
2. 攻击者闪电贷出 284.47 万枚 USDT 代币,接着调用 ExchangeWithAtomic 合约的 doSwapThroughOrionPool 函数兑换代币,兑换路径是 [USDC -> ATK(攻击者创建的恶意代币)-> USDT];
3. 因为兑换出来的结果是通过兑换后 ExchangeWithAtomic 合约里的 USDT 代币余额减去兑换前该合约里的 USDT 代币余额(284.47 万枚),但问题就在兑换 USDC -> ATK 后,会调用 ATK 代币的转账函数,该函数由攻击恶意构造会通过攻击合约调用 ExchangeWithAtomic 合约的 depositAsset 函数来将闪电贷来的 284.4 万 USDT 代币存入 ExchangeWithAtomic 合约中。此时攻击合约在 ExchangeWithAtomic 合约里的存款被成功记账为 284.47 万枚并且 ExchangeWithAtomic 合约里的 USDT 代币余额为 568.9 万枚,使得攻击者兑换出的 USDT 代币的数量被计算为兑换后的 568.9 万减去兑换前的 284.47 万等于 284.47 万;
4. 之后兑换后的 USDT 代币最后会通过调用库函数 creditUserAssets 来更新攻击合约在 ExchangeWithAtomic 合约里的使用的账本,导致攻击合约最终在 ExchangeWithAtomic 合约里 USDT 代币的存款记账为 568.9 万枚;
5. 最后攻击者调用 ExchangeWithAtomic 合约里的 withdraw 函数将 USDT 提取出来,归还闪电贷后将剩余的 283.6 万枚 USDT 代币换成 WETH 获利。攻击者利用一样的手法在 BSC 链上的也发起了攻击,获利 19.1 万美元;
此次攻击的根本原因在于合约兑换功能的函数没有做重入保护,并且兑换后再次更新账本存款的数值是根据兑换前后合约里的代币余额差值来计算的,导致攻击者利用假代币重入了存款函数获得超过预期的代币。
参考攻击交易:
https://etherscan.io/tx/0xa6f63fcb6bec8818864d9
6a5b1bb19e8bd85ee37b2cc916412e720988440b2aa
https://bscscan.com/tx/0xfb153c572e304093023b
4f9694ef39135b6ed5b2515453173e81ec02df2e2104
612 天前
火讯财经讯,据DealStreetAsia报道,新加坡区块链风投BlockchainFoundersFund宣布旗下第二支基金完成7500万美元募资,新基金将专注于区块链、加密货币、Web3和元宇宙等领域。BlockchainFoundersFund合伙人AlyMadhavji表示,该基金的目标是在相关领域里投资超过200家初创公司。
612 天前
火讯财经讯,据CoinDesk2月3日报道,印度经济事务部秘书AjaySeth表示,国际货币基金组织(IMF)正在与印度协商起草一份文件,该文件将重点关注“货币政策的各个方面和加密资产的政策方法”。AjaySeth还表示,在本月晚些时候举行的G20会议期间将举行135分钟的加密货币资产研讨会,国际货币基金组织正在为此准备文件,该文件将作为基础。AjaySeth称,计划将IMF起草的文件从G20的共识转移到金融稳定委员会的加密资产工作组,并希望所有国家都接受该政策。
612 天前
火讯财经讯,据CoinDesk2月3日报道,法庭文件显示,YouTube明星和职业摔跤手LoganPaul及其同伙因Paul推动名为NFT项目CryptoZoo销售被列入一项拟议的集体诉讼。原告律师称Paul及其同伙进行“rugpull”,开发者通过承诺某些利益吸引代币或NFT购买者,但CryptoZoo并未运行或存在过,开发者后携款跑路。原告指控Paul及其同伙参与欺诈、从事欺诈性代理、串谋实施欺诈、违法德克萨斯州《欺诈性贸易行为法》并从事不当得利。
612 天前
火讯财经讯,据ForesightNews消息,韩国关税厅发布《2022年打击毒品走私举措及打击动向》报告,将建立覆盖海关管理所有领域的全方位打击体系,从源头上阻断毒品进口。具体举措包括加强海关查验、执法基础设施扩展、激发国内外合作和提升侦查能力四个方面,其中,提升侦查能力方面,在仁川海关设立毒品取证临时组织,运营线上监测临时组织以打击滥用虚拟资产和地下网络,还将扩大科学搜索设备、地下网络/在线监控、虚拟资产追踪、国际合作、没收犯罪所得等领域的专业培训。
612 天前
火讯财经讯,DeFi之道讯,2月3日,ENS开发者NickJohnson发文称,已经解决两次出现的ENS子图中存在空字符漏洞问题,并采取预防措施。由于TheGraph的PostgreSQL未在文本列中存储空字符,攻击者在创建域名前后添加空字节字符时,可利用此漏洞冒充任何已被其他用户注册的域名。
612 天前
火讯财经讯,据彭博社报道,澳大利亚当局表示,澳大利亚警方捣毁一个澳大利亚华人洗钱集团,并查封了价值超过1.5亿澳元(1.06亿美元)的资产,这是该国最大的此类活动之一。据法新社报道,该组织在全球范围内转移非法资金,帮助多个国际犯罪团伙洗钱。查获的物品包括加密货币,以及手表、手提包、珠宝和枪支。悉尼还有20多处房屋被查封,其中包括位于悉尼东郊的两处总价值超过1,900万澳元的房屋,以及未来第二机场附近价值4,700万澳元的土地。法新社助理局长KirstySchofield在新闻发布会上说:“这个总部位于悉尼的组织就像一个地下银行,在世界各地都有分支机构。”
612 天前
火讯财经讯,DeFi之道讯,2月3日,据MinistersTreasuryportfolio网站显示,澳大利亚监管机构正在加强对加密资产提供商的关注,以确保他们履行对澳大利亚消费者的义务,另外,政府还将改革对加密资产的许可和托管,将为加密资产服务提供商建立一套义务和操作标准,以确保提供商为客户充分托管资产。关于监管和许可框架设计的磋商将于2023年年中开始。另外,澳大利亚证券投资委员会(ASIC)正在扩大其加密货币团队的规模,并加强执法措施。澳大利亚竞争与消费者委员会(ACCC)也在加紧努力防止诈骗活动,包括涉及加密资产的诈骗。
613 天前
火讯财经讯,2月3日,基于Nostr协议的去中心化社交网络应用Damus已从中国大陆AppStore商店下架。Damus于2月1日登录AppStore商店,上线不到两日已登上美区AppStore免费社交App前十排行榜,超过Signal、微信、Line等知名社交应用。
613 天前
火讯财经讯,2月3日,Web3基础设施公司BlockJoy宣布完成近1100万美元种子轮及A轮融资,GradientVentures、DraperDragon、ActiveCapital、BorderlessCapital、TribeCapital、Bessemer、RenegadeVentures等参投,新资金将用于帮助其推出专利区块链节点管理软件。据悉,BlockJoy支持客户能够在任何基础设施上部署和运行去中心化区块链节点,同时保持类似云的体验,与传统云提供商相比成本降低高达80%。在该平台推出后的六个月内已经为Helium运行了超过1200个验证器,最近推出了支持Ethereum和Helium的测试版,并计划在未来几周内完成公开Beta测试后支持更多新协议。
613 天前
火讯财经讯,据彭博社报道,立陶宛去年注册的加密货币公司猛增了近五倍,该国正在控制数字资产服务提供商的增长,以解决透明度问题和洗钱风险。注册办公室根据去年11月实施的一套更严格的监管要求,从850家公司中筛选出206家加密公司。
613 天前
火讯财经讯,据彭博社报道,立陶宛去年的加密公司注册量增长了近五倍,正在控制数字资产服务提供商的增长,以解决透明度问题和洗钱风险。维尔纽斯的注册办公室周四公布了206家加密公司的名单,这些公司通过了去年11月实施的一系列更严格的监管要求。据财政部称,在实施新规定后,监管机构筛选了850家公司的名单。
613 天前
火讯财经讯,TheBlock发文称,自2020年以来,加密勒索软件从十大攻击中获取了超过6930万美元支付的比特币。芝加哥保险公司CNAFinancial用比特币支付了4000万美元,占总金额的57.7%。JBS、CWT、Brenntag、ColonialPipeline、Travelex、UCSF、BRBBank、JacksonCounty和马斯特里赫特大学与CNAFinancial一起进入前10名,赎金支付额从21.8万美元到4000万美元不等。所有的付款都是用比特币支付的,赎金软件来自俄罗斯、东欧和伊朗。
613 天前
火讯财经讯,据CoinDesk2月2日报道,美国参议院银行委员会最高共和党参议员TimScott(RS.C.)将于周四公布他对加密货币两党监管框架的优先事项。TimScott在“几次引人注目的失败”和“对非法融资的担忧”之后对加密货币持怀疑态度。
613 天前
火讯财经讯,DeFi之道讯,2月2日,桥水基金创始人RayDalio在接受CNBC采访时提到,加密市场几乎与任何经济形势无关,同时他认为应该对稳定币保持警惕,稳定币不一定是一个好的事物。
613 天前
火讯财经讯,DeFi之道讯,亚马逊招聘页面显示,AWS正在招聘Web3业务市场专家(SeniorGTMSpecialist),职位描述为:该团队负责在AWS上不断增加Web3工作负载的采用,这个角色将直接与初创公司和全球企业合作,了解客户的Web3需求和用例,并将其变为现实。
613 天前
火讯财经讯,据TheBlock2月2日报道,去中心化存储解决方案SumiNetwork以3000万美元估值完成300万美元融资,Scytale领投,Fuse、D1Ventures、DFG和TRGC等参投。SumiNetwork现在专注于进一步构建其专有的去中心化存储解决方案。
613 天前
火讯财经讯,据财联社报道,英国央行宣布将基准利率上调50个基点至4.00%,符合市场预期。利率水平为2008年10月以来最高,这是2021年12月以来英国央行连续第十次加息。
613 天前
火讯财经讯,据Finbold2月2日报道,市场研究机构GrandViewResearch最新发布的报告显示,全球区块链消息应用程序的市场规模预计将在2030年达到5.365亿美元,期间的复合年增长率(CAGR)为43.6%,其中美国市场的区块链消息应用程序市场复合年增长率间将达到42.3%。该报告称,区块链消息应用市场增长可能会受到加密货币日益普及、企业和个人对数据隐私的需求不断增长以及全球Web3和5G/6G技术进步的影响。
613 天前
火讯财经讯,DeFi之道讯,2月2日,USDC发行商Circle的欧盟政府事务高级总监JonasFrederiksen发推表示,欧洲议会已就其对《欧盟数据法》的谈判立场达成初步协议,其中包括对智能合约的监管。欧洲议会的提案概述了智能合约的基本要求,包括稳健性和访问控制、安全终止和中断以及与传统合约的等效性。更重要的是,欧洲议会提案删除了委员会原提案中的许多严格条款,包括合格评定和欧盟合格声明、供应商的合规责任以及协调标准。这意味着欧盟将采用更加务实的方法来监管智能合约,提供必要的保护,同时消除部署和开发的障碍。
商务合作:840034348@qq.com
媒体合作:840034348@qq.com
投稿合作:840034348@qq.com
微信公众号
iPhone & Android
