02月03日,星期五 05:40
据慢雾安全团队情报,2023 年 2 月 3 日,Orion Protocol 项目的 ETH 和 BSC 链上的合约遭到攻击,攻击者获利约 302.7 万美元。慢雾安全团队以简讯的形式分享如下:
1. 攻击者首先调用 ExchangeWithAtomic 合约的 depositAsset 函数进行存款,存入 0.5 个 USDC 代币为下面的攻击作准备;
2. 攻击者闪电贷出 284.47 万枚 USDT 代币,接着调用 ExchangeWithAtomic 合约的 doSwapThroughOrionPool 函数兑换代币,兑换路径是 [USDC -> ATK(攻击者创建的恶意代币)-> USDT];
3. 因为兑换出来的结果是通过兑换后 ExchangeWithAtomic 合约里的 USDT 代币余额减去兑换前该合约里的 USDT 代币余额(284.47 万枚),但问题就在兑换 USDC -> ATK 后,会调用 ATK 代币的转账函数,该函数由攻击恶意构造会通过攻击合约调用 ExchangeWithAtomic 合约的 depositAsset 函数来将闪电贷来的 284.4 万 USDT 代币存入 ExchangeWithAtomic 合约中。此时攻击合约在 ExchangeWithAtomic 合约里的存款被成功记账为 284.47 万枚并且 ExchangeWithAtomic 合约里的 USDT 代币余额为 568.9 万枚,使得攻击者兑换出的 USDT 代币的数量被计算为兑换后的 568.9 万减去兑换前的 284.47 万等于 284.47 万;
4. 之后兑换后的 USDT 代币最后会通过调用库函数 creditUserAssets 来更新攻击合约在 ExchangeWithAtomic 合约里的使用的账本,导致攻击合约最终在 ExchangeWithAtomic 合约里 USDT 代币的存款记账为 568.9 万枚;
5. 最后攻击者调用 ExchangeWithAtomic 合约里的 withdraw 函数将 USDT 提取出来,归还闪电贷后将剩余的 283.6 万枚 USDT 代币换成 WETH 获利。攻击者利用一样的手法在 BSC 链上的也发起了攻击,获利 19.1 万美元;
此次攻击的根本原因在于合约兑换功能的函数没有做重入保护,并且兑换后再次更新账本存款的数值是根据兑换前后合约里的代币余额差值来计算的,导致攻击者利用假代币重入了存款函数获得超过预期的代币。
参考攻击交易:
https://etherscan.io/tx/0xa6f63fcb6bec8818864d9
6a5b1bb19e8bd85ee37b2cc916412e720988440b2aa
https://bscscan.com/tx/0xfb153c572e304093023b
4f9694ef39135b6ed5b2515453173e81ec02df2e2104
0
火讯财经讯,9月14日消息,NFT聚合交易平台OpenSea宣布与CoinbaseOne达成合作,CoinbaseOne订阅用户将获得5%的活跃度提升,预计将在9月15日开始的OpenSea全新“宝箱”奖励环节推出,据悉CoinbaseOne用户需要验证用于OpenSea奖励的钱包。
3 小时前
火讯财经讯,9月14日消息,欧易OKX行情显示,ETH刚刚跌破4600美元,现报4591.61美元/枚,日内下跌1.35%。
4 小时前
火讯财经讯,9月14日消息,据链上分析师Ai姨(@ai_9684xtpa)监测,时隔两年重新建仓ETH的地址0x5Fe...4A838五小时前再次从币安转出1000枚ETH,价值465万美元,过去两月已累计囤积8711枚ETH(3376万美元),平均提出价格3876美元;其中3711枚已疑似止盈并获利145.1万美元,剩余5000枚浮盈390万美元。
4 小时前
火讯财经讯,9月14日消息,经济学家PeterSchiff在X平台发文表示,美联储即将在通胀上升之际降息,这种做法可能是一个重大政策错误,黄金和白银已经爆发,矿业股的领涨最终证实了这一涨势,然而,比特币却没有如期实现突破,反而在高位横盘,对于持币者来说是时换赛道了。
4 小时前
火讯财经讯,9月14日消息,据链上分析师Ai姨(@ai_9684xtpa)监测,七个月前以均价2022美元建仓35575枚ETH的聪明钱过去24小时已疑似减仓11986ETH,价值5559万美元。 2025.03.03-04.08他陆续在链上囤积ETH,本次若卖出将获利3135万美元,回报率达129.4%;目前他剩余的26912枚ETH分散在十几个地址中,总价值1.24亿美元。
5 小时前
商务合作:840034348@qq.com
媒体合作:840034348@qq.com
投稿合作:840034348@qq.com
微信公众号
iPhone & Android
