以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

慢霧:Orion Protocol 被攻擊是因合約兌換功能的函數沒有做重入保護所致_WIT

Author:

Time:1900/1/1 0:00:00

今晨OrionProtocol項目的ETH和BSC鏈上的合約遭到攻擊,攻擊者獲利約302.7萬美元,對此次攻擊過程和原因慢霧安全團隊分析如下:

1.攻擊者首先調用ExchangeWithAtomic合約的depositAsset函數進行存款,存入0.5個USDC代幣為下面的攻擊作準備;

2.攻擊者閃電貸出284.47萬枚USDT代幣,接著調用ExchangeWithAtomic合約的doSwapThroughOrionPool函數兌換代幣,兌換路徑是;

慢霧:過去一周Web3生態系統因安全事件損失近160萬美元:6月26日消息,慢霧發推稱,過去一周Web3生態系統因安全事件損失近160萬美元,包括MidasCapital、Ara、VPANDADAO、Shido、Slingshot、IPO、Astaria。[2023/6/26 22:00:21]

3.因為兌換出來的結果是通過兌換后ExchangeWithAtomic合約里的USDT代幣余額減去兌換前該合約里的USDT代幣余額,但問題就在兌換USDC->ATK后,會調用ATK代幣的轉賬函數,該函數由攻擊惡意構造會通過攻擊合約調用ExchangeWithAtomic合約的depositAsset函數來將閃電貸來的284.4萬USDT代幣存入ExchangeWithAtomic合約中。此時攻擊合約在ExchangeWithAtomic合約里的存款被成功記賬為284.47萬枚并且ExchangeWithAtomic合約里的USDT代幣余額為568.9萬枚,使得攻擊者兌換出的USDT代幣的數量被計算為兌換后的568.9萬減去兌換前的284.47萬等于284.47萬;

慢霧:Gate官方Twitter賬戶被盜用,謹慎互動:10月22日消息,安全團隊慢霧發文稱:加密平臺Gate官方Twitter賬戶被盜用,謹慎互動。半小時前,攻擊者利用該賬戶發文,誘導用戶進入虛假網站連接錢包。此外,慢霧科技創始人余弦在社交媒體上發文表示:注意下,Gate官方推特應該是被黑了,發送了釣魚信息,這個網址 g?te[.]com 是假的(之前談過的 Punycode 字符有關的釣魚域名),如果你去Claim會出現eth_sign這種簽名釣魚,可能導致ETH等相關資產被盜。[2022/10/22 16:35:14]

4.之后兌換后的USDT代幣最后會通過調用庫函數creditUserAssets來更新攻擊合約在ExchangeWithAtomic合約里的使用的賬本,導致攻擊合約最終在ExchangeWithAtomic合約里USDT代幣的存款記賬為568.9萬枚;

動態 | 慢霧:10 月發生多起針對交易所的提幣地址劫持替換攻擊:據慢霧區塊鏈威脅情報(BTI)系統監測及慢霧 AML 數據顯示,過去的 10 月里發生了多起針對數字貨幣交易所的提幣地址劫持替換攻擊,手法包括但不限于:第三方 JS 惡意代碼植入、第三方 NPM 模塊污染、Docker 容器污染。慢霧安全團隊建議數字貨幣交易所加強風控措施,例如:1. 密切注意第三方 JS 鏈接風險;2. 提幣地址應為白名單地址,添加時設置雙因素校驗,用戶提幣時從白名單地址中選擇,后臺嚴格做好校驗。此外,也要多加注意內部后臺的權限控制,防止內部作案。[2019/11/1]

5.最后攻擊者調用ExchangeWithAtomic合約里的withdraw函數將USDT提取出來,歸還閃電貸后將剩余的283.6萬枚USDT代幣換成WETH獲利。攻擊者利用一樣的手法在BSC鏈上的也發起了攻擊,獲利19.1萬美元;

此次攻擊的根本原因在于合約兌換功能的函數沒有做重入保護,并且兌換后再次更新賬本存款的數值是根據兌換前后合約里的代幣余額差值來計算的,導致攻擊者利用假代幣重入了存款函數獲得超過預期的代幣。

Tags:WITUSDITHWITHWITH幣BABYUSDTITH幣Project WITH

幣安app官網下載
每周要聞精選 | 加密總市值重回 1 萬億美元;FTX 已收回超 50 億美元資產_比特幣

整理:潤升,ChainCatcher 重要資訊 1、HuobiKorea將獨立運營,其董事長將從李林處獲得多數股權1月9日消息,據韓國媒體News1報道.

1900/1/1 0:00:00
韓國檢察官和司法部官員上周前往塞爾維亞追捕 Do Kwon_WON

韓國檢察官和司法部官員上周前往塞爾維亞,以尋求幫助追捕Terra創始人DoKwon。首爾檢察官辦公室已對此消息予以確認,檢察官辦公室和司法部拒絕就DoKwon的確切位置置評.

1900/1/1 0:00:00
去中心化長壽研究組織 VitaDAO 完成 410 萬美元融資,輝瑞參投_ITA

去中心化長壽科學研究組織VitaDAO宣布完成410萬美元的代幣融資,輝瑞的風險投資部門、ShineCapital、L1Digital和BalajiSrinivasan等參投.

1900/1/1 0:00:00
FTX 暴雷后,哪些風投機構仍在堅定投資?哪些陷入沉寂?_FTX

過去一年的加密行業十分艱難。自2022年初開始BTC、ETH等價格震蕩下行,然后是Terra/Luna轟然倒塌,三箭資本、Voyager等破產清算,隨后風險持續蔓延,傳播半徑超乎絕大多數人的想象.

1900/1/1 0:00:00
王峰對話何一:如何面對今天 Web3 的窘境時刻?_WEB

整理:MarsBit 1月10日,由MarsBit主辦,香港創新產業園區數碼港、G-Rocket高諾國際加速器、element協辦的「POWER香港Web3創新者峰會」在港舉辦.

1900/1/1 0:00:00
蕾哈娜熱門單曲以 NFT 形式發行,持有者將獲得 0.0033% 流媒體版稅_NFT

蕾哈娜(Rihanna)2015年熱門單曲“B****BetterHaveMyMoney”近日通過Web3音樂初創公司anotherblock,以NFT形式發行,首次發行數量300個.

1900/1/1 0:00:00
ads