以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

WIT:慢霧:Orion Protocol 被攻擊是因合約兌換功能的函數沒有做重入保護所致

Author:

Time:1900/1/1 0:00:00

ForesightNews消息,據慢霧安全團隊情報,2023年2月3日,OrionProtocol項目在以太坊和BNBChain鏈上的合約遭到攻擊,攻擊者獲利約302.7萬美元。慢霧安全團隊以簡訊的形式分享如下:1.攻擊者首先調用ExchangeWithAtomic合約的depositAsset函數進行存款,存入0.5個USDC代幣為下面的攻擊作準備;2.攻擊者閃電貸出284.47萬枚USDT代幣,接著調用ExchangeWithAtomic合約的doSwapThroughOrionPool函數兌換代幣,兌換路徑是;3.因為兌換出來的結果是通過兌換后ExchangeWithAtomic合約里的USDT代幣余額減去兌換前該合約里的USDT代幣余額,但問題就在將USDC兌換為ATK后,會調用ATK代幣的轉賬函數,該函數由攻擊惡意構造會通過攻擊合約調用ExchangeWithAtomic合約的depositAsset函數來將閃電貸獲得的284.4萬USDT代幣存入ExchangeWithAtomic合約中。此時攻擊合約在ExchangeWithAtomic合約里的存款被成功記賬為284.47萬枚并且ExchangeWithAtomic合約里的USDT代幣余額為568.9萬枚,使得攻擊者兌換出的USDT代幣的數量被計算為兌換后的568.9萬減去兌換前的284.47萬等于284.47萬;4.之后兌換后的USDT代幣最后會通過調用庫函數creditUserAssets來更新攻擊合約在ExchangeWithAtomic合約里的使用的賬本,導致攻擊合約最終在ExchangeWithAtomic合約里USDT代幣的存款記賬為568.9萬枚;5.最后攻擊者調用ExchangeWithAtomic合約里的withdraw函數將USDT提取出來,歸還閃電貸后將剩余的283.6萬枚USDT代幣換成WETH獲利。攻擊者利用一樣的手法在BNBChain上的也發起了攻擊,獲利19.1萬美元;此次攻擊的根本原因在于合約兌換功能的函數沒有做重入保護,并且兌換后再次更新賬本存款的數值是根據兌換前后合約里的代幣余額差值來計算的,導致攻擊者利用假代幣重入了存款函數獲得超過預期的代幣。

慢霧:Solana公鏈上發生大規模盜幣,建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所:8月3日消息,據慢霧區情報,Solana公鏈上發生大規模盜幣事件,大量用戶在不知情的情況下被轉移SOL和SPL代幣,慢霧安全團隊對此事件進行跟蹤分析:

已知攻擊者地址:

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

目前攻擊仍在進行,從交易特征上看,攻擊者在沒有使用攻擊合約的情況下,對賬號進行簽名轉賬,初步判斷是私鑰泄露。不少受害者反饋,他們使用過多種不同的錢包,以移動端錢包為主,我們推測可能問題出現在軟件供應鏈上。在新證據被發現前,我們建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所等相對安全的位置,等待事件分析結果。[2022/8/3 2:55:22]

慢霧:2021年上半年共發生78起區塊鏈安全事件,總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計,2021年上半年,整個區塊鏈生態共發生78起較為著名的安全事件,涉及DeFi安全50起、錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關17起,其中以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態鏈(HECO)、波卡生態、EOS上各1起,總損失金額超17億美元(按事件發生時幣價計算)。

經慢霧AML對涉事資金追蹤分析發現,約60%的資金被攻擊者轉入混幣平臺,約30%的資金被轉入交易所。慢霧安全團隊在此建議,用戶應增強安全意識,提高警惕,選擇經過安全審計的可靠項目參與;項目方應不斷提升自身的安全系數,通過專業安全審計機構的審計后才上線,避免損失;各交易所應加大反洗錢監管力度,進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]

動態 | 慢霧: 警惕利用EOS及EOS上Token的提幣功能惡意挖礦:近期由于EIDOS空投導致EOS主網CPU資源十分緊張,有攻擊者開始利用交易所/DApp提幣功能惡意挖礦,請交易所/DApp在處理EOS及EOS上Token的提幣時,注意檢查用戶提幣地址是否是合約賬號,建議暫時先禁止提幣到合約賬號,避免被攻擊導致平臺提幣錢包的CPU資源被惡意消耗。同時,需要注意部分交易所的EOS充值錢包地址也是合約賬號,需要設置白名單避免影響正常用戶的提幣操作。[2019/11/6]

Tags:USDCHAWITITHQUSDNoiz ChainWITCH幣MITH

狗狗幣最新價格
USD:XT.COM關於BADGER,BNT,CEL,CSPR,DOME,DORA永續合約品種上線的公告

尊敬的XT.COM用戶:XT.COM將於2023年02月07日08:00上線BADGERUSDT,BNTUSDT,CELUSDT,CSPRUSDT.

1900/1/1 0:00:00
WATT:關于非首發項目Wattton (WATT)空投結果公告

1.關于非首發項目Wattton(WATT)空投結果Gate.ioStartup非首發項目Wattton代幣WATT于Feb02nd,PM03:00開始下單,24小時內下單同等對待,總共有15.

1900/1/1 0:00:00
ZEB:2023年,你需要了解Zebec生態的幾個開年利好

在2023年開年以來,加密市場開始迎來復蘇,以BTC、ETH等為代表的主流加密資產迎來普漲,雖然相較于2021年頂峰時期相比仍存在一定的差距,但市場的回暖正在帶動加密行業在2023年的復蘇.

1900/1/1 0:00:00
NFT:強勢回歸:5大數據指標透析1月加密市場

本文來自Dapprader,原文作者:SaraGherghelasOdaily星球日報譯者|Moni加密貨幣市場以強勁趨勢開啟2023年,?1月鏈上指標已顯示出較大增長和活躍度.

1900/1/1 0:00:00
以太坊:?本輪周期性已明確如何選擇靠譜的交易所布局下一輪牛市??

?比特幣在22000美元上方橫盤整理10多天后,選擇繼續向上突破,很多人預期中的調整行情暫時落空.

1900/1/1 0:00:00
MER:比特幣多頭必須收回這兩個水平,因為“死亡交叉”仍然隱約可見

比特幣分析預測,BTC價格上漲取決于兩條久違的移動平均線是否可以翻轉支撐。 gz呺Web3團子 比特幣一項新的分析稱,該公司面臨下沉或游泳阻力測試,以確認其“宏觀突破”.

1900/1/1 0:00:00
ads