689 天前

02月03日,星期五 05:40

【慢雾:Orion Protocol 被黑分析】

据慢雾安全团队情报,2023 年 2 月 3 日,Orion Protocol 项目的 ETH 和 BSC 链上的合约遭到攻击,攻击者获利约 302.7 万美元。慢雾安全团队以简讯的形式分享如下: 1. 攻击者首先调用 ExchangeWithAtomic 合约的 depositAsset 函数进行存款,存入 0.5 个 USDC 代币为下面的攻击作准备; 2. 攻击者闪电贷出 284.47 万枚 USDT 代币,接着调用 ExchangeWithAtomic 合约的 doSwapThroughOrionPool 函数兑换代币,兑换路径是 [USDC -> ATK(攻击者创建的恶意代币)-> USDT]; 3. 因为兑换出来的结果是通过兑换后 ExchangeWithAtomic 合约里的 USDT 代币余额减去兑换前该合约里的 USDT 代币余额(284.47 万枚),但问题就在兑换 USDC -> ATK 后,会调用 ATK 代币的转账函数,该函数由攻击恶意构造会通过攻击合约调用 ExchangeWithAtomic 合约的 depositAsset 函数来将闪电贷来的 284.4 万 USDT 代币存入 ExchangeWithAtomic 合约中。此时攻击合约在 ExchangeWithAtomic 合约里的存款被成功记账为 284.47 万枚并且 ExchangeWithAtomic 合约里的 USDT 代币余额为 568.9 万枚,使得攻击者兑换出的 USDT 代币的数量被计算为兑换后的 568.9 万减去兑换前的 284.47 万等于 284.47 万; 4. 之后兑换后的 USDT 代币最后会通过调用库函数 creditUserAssets 来更新攻击合约在 ExchangeWithAtomic 合约里的使用的账本,导致攻击合约最终在 ExchangeWithAtomic 合约里 USDT 代币的存款记账为 568.9 万枚; 5. 最后攻击者调用 ExchangeWithAtomic 合约里的 withdraw 函数将 USDT 提取出来,归还闪电贷后将剩余的 283.6 万枚 USDT 代币换成 WETH 获利。攻击者利用一样的手法在 BSC 链上的也发起了攻击,获利 19.1 万美元; 此次攻击的根本原因在于合约兑换功能的函数没有做重入保护,并且兑换后再次更新账本存款的数值是根据兑换前后合约里的代币余额差值来计算的,导致攻击者利用假代币重入了存款函数获得超过预期的代币。 参考攻击交易: https://etherscan.io/tx/0xa6f63fcb6bec8818864d9
6a5b1bb19e8bd85ee37b2cc916412e720988440b2aa
https://bscscan.com/tx/0xfb153c572e304093023b
4f9694ef39135b6ed5b2515453173e81ec02df2e2104

7
0
  • X平台大幅上调Premium+订阅价格

    火讯财经讯,12月23日消息,据Techcrunch报道,X平台(原Twitter)将其高级订阅服务Premium+价格上调37.5%至每月22美元,这是自马斯克2022年收购平台以来的最大涨幅。美国市场率先生效,价格调整于12月21日起实施,现有用户可维持原价格至2025年1月20日。 国际市场同步涨价:欧盟地区月费从16欧元升至21欧元,加拿大从20加元升至29加元。部分地区涨幅更高,例如尼日利亚从7300奈拉涨至34000奈拉,土耳其从300里拉涨至770里拉。平台基础订阅服务价格仍维持每月3美元不变。

    20 分钟前

  • CoinShares:上周数字资产投资产品净流入3.08亿美元

    火讯财经讯,12月23日消息,据CoinShares最新周报数据,上周数字资产投资产品净流入3.08亿美元,但12月19日单日录得5.76亿美元的巨额净流出,导致周末两日总流出规模达10亿美元。受FOMC鹰派政策影响,数字资产ETP总管理资产(AuM)减少177亿美元,占总AuM的0.37%。 尽管如此,比特币仍实现周净流入3.75亿美元,且空头投资者活动有限。以太坊流入5100万美元,而Solana流出870万美元。多资产投资产品净流出1.21亿美元,但部分山寨币如XRP(880万美元)、Horizen(480万美元)和Polkadot(190万美元)仍录得净流入。

    20 分钟前

  • 币安将优化流通供应量数据的显示方式

    火讯财经讯,12月23日消息,据币安公告,币安将针对用户反馈优化流通供应量数据的显示方式。目前,币安的流通供应量数据来源于CoinMarketCap(CMC),其计算方式排除了分配给项目内部相关方的地址。未来,币安将整合CMC即将推出的两个新指标——已解锁市值(UMC)和已解锁流通供应量(UCS),以提升代币信息页面的数据透明度和准确性。

    35 分钟前

  • 数据:香港虚拟资产ETF今日成交额约4991.8万港元

    火讯财经讯,12月23日消息,港股行情数据显示,截至收盘,今日所有香港虚拟资产ETF成交额约4991.8万港元。其中: 华夏比特币ETF(3042.HK/9042.HK/83042.HK)成交额为3530.12万港元,华夏以太币ETF(03046.HK/09046.HK/83046.HK)成交额为667.95万港元;嘉实比特币ETF(03439.HK/09439.HK)成交额为529.44万港元,嘉实以太币ETF(03179.HK/09179.HK)成交额为11.3万港元;博时比特币ETF(03008.HK/09008.HK)成交额为142.63万港元,博时以太币ETF(03009.HK/09009.HK)成交额为110.35万港元。 注:以上虚拟资产ETF均设有港币柜台和美元柜台,仅华夏两只ETF还设有人民币柜台。

    50 分钟前

  • 数据:Copper向Bybit交易所转移923枚比特币,价值约8876万美元

    火讯财经讯,12月23日消息,据iChainfo监测,Copper地址 1JZ6…Tj9m向加密交易所Bybit地址1J5a…K1bB转移了923枚比特币,总价值约8876万美元。

    1 小时前