02月03日,星期五 05:40
据慢雾安全团队情报,2023 年 2 月 3 日,Orion Protocol 项目的 ETH 和 BSC 链上的合约遭到攻击,攻击者获利约 302.7 万美元。慢雾安全团队以简讯的形式分享如下:
1. 攻击者首先调用 ExchangeWithAtomic 合约的 depositAsset 函数进行存款,存入 0.5 个 USDC 代币为下面的攻击作准备;
2. 攻击者闪电贷出 284.47 万枚 USDT 代币,接着调用 ExchangeWithAtomic 合约的 doSwapThroughOrionPool 函数兑换代币,兑换路径是 [USDC -> ATK(攻击者创建的恶意代币)-> USDT];
3. 因为兑换出来的结果是通过兑换后 ExchangeWithAtomic 合约里的 USDT 代币余额减去兑换前该合约里的 USDT 代币余额(284.47 万枚),但问题就在兑换 USDC -> ATK 后,会调用 ATK 代币的转账函数,该函数由攻击恶意构造会通过攻击合约调用 ExchangeWithAtomic 合约的 depositAsset 函数来将闪电贷来的 284.4 万 USDT 代币存入 ExchangeWithAtomic 合约中。此时攻击合约在 ExchangeWithAtomic 合约里的存款被成功记账为 284.47 万枚并且 ExchangeWithAtomic 合约里的 USDT 代币余额为 568.9 万枚,使得攻击者兑换出的 USDT 代币的数量被计算为兑换后的 568.9 万减去兑换前的 284.47 万等于 284.47 万;
4. 之后兑换后的 USDT 代币最后会通过调用库函数 creditUserAssets 来更新攻击合约在 ExchangeWithAtomic 合约里的使用的账本,导致攻击合约最终在 ExchangeWithAtomic 合约里 USDT 代币的存款记账为 568.9 万枚;
5. 最后攻击者调用 ExchangeWithAtomic 合约里的 withdraw 函数将 USDT 提取出来,归还闪电贷后将剩余的 283.6 万枚 USDT 代币换成 WETH 获利。攻击者利用一样的手法在 BSC 链上的也发起了攻击,获利 19.1 万美元;
此次攻击的根本原因在于合约兑换功能的函数没有做重入保护,并且兑换后再次更新账本存款的数值是根据兑换前后合约里的代币余额差值来计算的,导致攻击者利用假代币重入了存款函数获得超过预期的代币。
参考攻击交易:
https://etherscan.io/tx/0xa6f63fcb6bec8818864d9
6a5b1bb19e8bd85ee37b2cc916412e720988440b2aa
https://bscscan.com/tx/0xfb153c572e304093023b
4f9694ef39135b6ed5b2515453173e81ec02df2e2104
0
火讯财经讯,1月31日消息,据Uniswap官方消息,Uniswapv4现已上线,成为Uniswap协议的最新版本。经过数百名社区成员的代码贡献、九次独立审计、历史上最大规模的安全竞赛以及1550万美元的漏洞赏金,Uniswapv4现已在以太坊、Polygon、Arbitrum等多个链上启用。此次更新使得协议成为一个高度可定制的开发者平台,通过“hooks”插件,开发者可以为流动池、交换、手续费等功能自定义逻辑。 资料显示,Uniswapv4提供更低的交易成本,新池创建费用比之前版本低99.99%,且支持ETH交易对,显著节省了Gas费。同时,该版本无关键安全漏洞,且所有代码公开,欢迎社区贡献和审计。流动性提供者可通过Uniswap应用迁移至v4,交易者的交换流程也将自动通过v4流动性池进行路由。
7 分钟前
火讯财经讯,1月31日消息,据CoinDesk报道,瑞士银行巨头瑞银(UBS)已在以太坊Layer-2网络ZKSync上完成其“UBSKey4Gold”黄金产品的概念验证。此举旨在探索如何在保护隐私的同时扩展其黄金产品。Key4Gold允许瑞士客户通过实时定价、深度流动性及可选实物交付,购买实物黄金。
7 分钟前
火讯财经讯,1月31日消息,据CoinDesk报道,Grayscale宣布推出一项新的封闭式基金——DogecoinTrust,提供对狗狗币(DOGE)的敞口。该资产管理公司认为,DOGE已经不再仅仅是模因币,而是成为全球普惠金融的工具,特别是在银行基础设施不发达的地区,凭借其低交易成本和快速转账速度,DOGE被视为国际汇款的最佳工具。此次信托的推出是在特朗普总统上任后不久,特朗普曾承诺推动加密行业的发展,并以“D.O.G.E.”命名了他的一个新成立的组织。DOGE的市值接近500亿美元,是全球最大模因币。
22 分钟前
火讯财经讯,1月31日消息,据金十报道,美国白宫官员表示,美国总统特朗普将于近期在白宫会见英伟达首席执行官黄仁勋。
22 分钟前
火讯财经讯,1月31日消息,据BusinessWire报道,支付公司CedarMoney宣布完成由QEDInvestors领投的990万美元种子轮融资,NorthIslandVentures、WischoffVentures、Lattice和Stellar参投。该资金将用于加速公司使命,即利用现代支付基础设施,推动稳定币跨境支付的变革。CedarMoney旨在解决传统代理银行系统中的低效问题,利用稳定币提供更快速、可靠且成本效益高的跨境支付。
22 分钟前
商务合作:840034348@qq.com
媒体合作:840034348@qq.com
投稿合作:840034348@qq.com
微信公众号
iPhone & Android
