02月03日,星期五 05:40
据慢雾安全团队情报,2023 年 2 月 3 日,Orion Protocol 项目的 ETH 和 BSC 链上的合约遭到攻击,攻击者获利约 302.7 万美元。慢雾安全团队以简讯的形式分享如下:
1. 攻击者首先调用 ExchangeWithAtomic 合约的 depositAsset 函数进行存款,存入 0.5 个 USDC 代币为下面的攻击作准备;
2. 攻击者闪电贷出 284.47 万枚 USDT 代币,接着调用 ExchangeWithAtomic 合约的 doSwapThroughOrionPool 函数兑换代币,兑换路径是 [USDC -> ATK(攻击者创建的恶意代币)-> USDT];
3. 因为兑换出来的结果是通过兑换后 ExchangeWithAtomic 合约里的 USDT 代币余额减去兑换前该合约里的 USDT 代币余额(284.47 万枚),但问题就在兑换 USDC -> ATK 后,会调用 ATK 代币的转账函数,该函数由攻击恶意构造会通过攻击合约调用 ExchangeWithAtomic 合约的 depositAsset 函数来将闪电贷来的 284.4 万 USDT 代币存入 ExchangeWithAtomic 合约中。此时攻击合约在 ExchangeWithAtomic 合约里的存款被成功记账为 284.47 万枚并且 ExchangeWithAtomic 合约里的 USDT 代币余额为 568.9 万枚,使得攻击者兑换出的 USDT 代币的数量被计算为兑换后的 568.9 万减去兑换前的 284.47 万等于 284.47 万;
4. 之后兑换后的 USDT 代币最后会通过调用库函数 creditUserAssets 来更新攻击合约在 ExchangeWithAtomic 合约里的使用的账本,导致攻击合约最终在 ExchangeWithAtomic 合约里 USDT 代币的存款记账为 568.9 万枚;
5. 最后攻击者调用 ExchangeWithAtomic 合约里的 withdraw 函数将 USDT 提取出来,归还闪电贷后将剩余的 283.6 万枚 USDT 代币换成 WETH 获利。攻击者利用一样的手法在 BSC 链上的也发起了攻击,获利 19.1 万美元;
此次攻击的根本原因在于合约兑换功能的函数没有做重入保护,并且兑换后再次更新账本存款的数值是根据兑换前后合约里的代币余额差值来计算的,导致攻击者利用假代币重入了存款函数获得超过预期的代币。
参考攻击交易:
https://etherscan.io/tx/0xa6f63fcb6bec8818864d9
6a5b1bb19e8bd85ee37b2cc916412e720988440b2aa
https://bscscan.com/tx/0xfb153c572e304093023b
4f9694ef39135b6ed5b2515453173e81ec02df2e2104
0
火讯财经讯,2月11日消息,BirchHill宣布已完成250万美元Pre-Seed轮融资,由ParaFiCapital与CastleIslandVentures领投,Nascent、FalconX、EV3Ventures、JSTDigital、Flowdesk等机构参投。BirchHill致力于解决机构在链上真实世界资产(RWA)与稳定币市场中基础设施缺失的问题,当前RWA供应已达200亿美元,稳定币市值达3000亿美元。此次融资还获得多位行业人士支持,包括Bluerock创始人RaminKamfar、TheTIECEOJoshuaFrank等。
7 小时前
火讯财经讯,2月11日消息,CoinAnk数据显示,过去24小时加密货币市场全网合约爆仓2.91亿美元,其中多单爆仓2.09亿美元,空单爆仓8219.90万美元。BTC爆仓总金额1.23亿美元,ETH爆仓总金额7339.32万美元。
7 小时前
火讯财经讯,2月11日消息,据BusinessWire报道,洲际交易所(ICE)宣布上线PolymarketSignalsandSentiment工具,向机构投资者提供来自Polymarket的预测市场数据和分析,并成为该数据在机构资本市场的独家提供方。ICE将Polymarket上与金融和大宗商品相关的预测市场数据进行标准化,生成可供专业和机构交易员使用的“人群预测概率”信号,用于辅助Alpha策略开发和风险管理。该服务通过ICE现有数据基础设施提供,支持近乎实时的数据访问,以及通过ICEConsolidatedHistory提供的历史时间序列用于回测和量化分析,并可与ICE旗下证券定价、基本面数据和公司行为等数据打通。
7 小时前
火讯财经讯,2月11日消息,美国证监会(SEC)主席在众议院金融服务委员会作证时表示,将通过“让IPO再次伟大”三大举措降低监管负担,包括:以重要性原则精简披露、减少股东大会政治化议题、为上市公司提供诉讼替代机制。他强调,加密资产联邦监管框架“严重滞后”,支持国会通过CLARITYAct,并与CFTC通过“ProjectCrypto”制定代币分类和链上交易豁免方案。同时,SEC正在全面审查并削减ConsolidatedAuditTrail(CAT)等系统成本,下调PCAOB预算与董事薪酬,并通过跨境执法打击境外操纵与欺诈,重申以保护投资者和提升市场效率为核心任务。
7 小时前
火讯财经讯,2月11日消息,据Luxxfolio在X平台披露,公司近期增持2,413.464枚LTC,使总持仓达24,439.464枚,按流通股计算每股对应约73,686litoshis,较2025年3月31日的30,020litoshis上涨145.5%。公司维持零负债状态,并宣布已部署20台蚂蚁矿机L916G开启莱特币挖矿,未来将视市场与电力情况逐步扩张算力。
7 小时前
商务合作:840034348@qq.com
媒体合作:840034348@qq.com
投稿合作:840034348@qq.com
微信公众号
iPhone & Android
