02月03日,星期五 05:40
据慢雾安全团队情报,2023 年 2 月 3 日,Orion Protocol 项目的 ETH 和 BSC 链上的合约遭到攻击,攻击者获利约 302.7 万美元。慢雾安全团队以简讯的形式分享如下:
1. 攻击者首先调用 ExchangeWithAtomic 合约的 depositAsset 函数进行存款,存入 0.5 个 USDC 代币为下面的攻击作准备;
2. 攻击者闪电贷出 284.47 万枚 USDT 代币,接着调用 ExchangeWithAtomic 合约的 doSwapThroughOrionPool 函数兑换代币,兑换路径是 [USDC -> ATK(攻击者创建的恶意代币)-> USDT];
3. 因为兑换出来的结果是通过兑换后 ExchangeWithAtomic 合约里的 USDT 代币余额减去兑换前该合约里的 USDT 代币余额(284.47 万枚),但问题就在兑换 USDC -> ATK 后,会调用 ATK 代币的转账函数,该函数由攻击恶意构造会通过攻击合约调用 ExchangeWithAtomic 合约的 depositAsset 函数来将闪电贷来的 284.4 万 USDT 代币存入 ExchangeWithAtomic 合约中。此时攻击合约在 ExchangeWithAtomic 合约里的存款被成功记账为 284.47 万枚并且 ExchangeWithAtomic 合约里的 USDT 代币余额为 568.9 万枚,使得攻击者兑换出的 USDT 代币的数量被计算为兑换后的 568.9 万减去兑换前的 284.47 万等于 284.47 万;
4. 之后兑换后的 USDT 代币最后会通过调用库函数 creditUserAssets 来更新攻击合约在 ExchangeWithAtomic 合约里的使用的账本,导致攻击合约最终在 ExchangeWithAtomic 合约里 USDT 代币的存款记账为 568.9 万枚;
5. 最后攻击者调用 ExchangeWithAtomic 合约里的 withdraw 函数将 USDT 提取出来,归还闪电贷后将剩余的 283.6 万枚 USDT 代币换成 WETH 获利。攻击者利用一样的手法在 BSC 链上的也发起了攻击,获利 19.1 万美元;
此次攻击的根本原因在于合约兑换功能的函数没有做重入保护,并且兑换后再次更新账本存款的数值是根据兑换前后合约里的代币余额差值来计算的,导致攻击者利用假代币重入了存款函数获得超过预期的代币。
参考攻击交易:
https://etherscan.io/tx/0xa6f63fcb6bec8818864d9
6a5b1bb19e8bd85ee37b2cc916412e720988440b2aa
https://bscscan.com/tx/0xfb153c572e304093023b
4f9694ef39135b6ed5b2515453173e81ec02df2e2104
0
火讯财经讯,10月8日消息,根据SoSoValue数据,昨日(美东时间10月7日)以太坊现货ETF总净流入为零,为上线后第二次交易日内总净流入为零,首次单日净流入为零出现在美东时间8月30日。 截止发稿前,以太坊现货ETF总资产净值为67亿美元,ETF净资产比率(市值较以太坊总市值占比)达2.28%,历史累计净流出已达5.61亿美元。
13 分钟前
火讯财经讯,10月8日消息,Web3游戏开发平台Immutable在X平台表示注册人数已超300万。自2024年初推出ImmutablePassport以来,仅过去两个月的注册人数就增加了一倍。
58 分钟前
火讯财经讯,10月8日消息,据TheDataNerd监测,40分钟前,GSR向OKX存入了150万ZRO(约合646.5万美元)。现在钱包里还有329万ZRO(约合1420万美元)。
58 分钟前
火讯财经讯,10月8日消息,根据SoSoValue数据,昨日(美东时间10月7日)比特币现货ETF总净流入2.35亿美元。 昨日灰度(Grayscale)ETFGBTC单日净流出0.00美元,目前GBTC历史净流出为201.38亿美元。灰度(Grayscale)比特币迷你信托ETFBTC单日净流出0.00美元,目前灰度比特币迷你信托BTC历史总净流入为4.22亿美元。昨日单日净流入最多的比特币现货ETF为富达(Fidelity)ETFFBTC,单日净流入为1.04亿美元,目前FBTC历史总净流入达99.51亿美元。其次为贝莱德(BlackRock)ETFIBIT,单日净流入为9788.30万美元,目前IBIT历史总净流入达216.56亿美元。 截止发稿前,比特币现货ETF总资产净值为588.13亿美元,ETF净资产比率(市值较比特币总市值占比)达4.72%,历史累计净流入已达187.34亿美元。
58 分钟前
火讯财经讯,10月8日消息,据Cryptonews报道,根据《StateofSolana:BreakpointEdition》报告,2024年第三季度,基于Solana区块链构建的29个项目获得了1.73亿美元的私人融资,这是自2022年第二季度以来的最高水平。2024年第三季度每个月都出现连续增长,9月份的1.03亿美元是自2022年6月以来最强劲的月份。Solana的代币化资金市场也出现了大幅增长,仅30天内总价值就翻了一番,达到1.23亿美元。这一激增主要得益于9月23日从以太坊流入的5000万USDC。
1 小时前
商务合作:840034348@qq.com
媒体合作:840034348@qq.com
投稿合作:840034348@qq.com
微信公众号
iPhone & Android
