今晨OrionProtocol项目的ETH和BSC链上的合约遭到攻击,攻击者获利约302.7万美元,对此次攻击过程和原因慢雾安全团队分析如下:
1.攻击者首先调用ExchangeWithAtomic合约的depositAsset函数进行存款,存入0.5个USDC代币为下面的攻击作准备;
2.攻击者闪电贷出284.47万枚USDT代币,接着调用ExchangeWithAtomic合约的doSwapThroughOrionPool函数兑换代币,兑换路径是;
慢雾:疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息,慢雾监测显示,疑似加密交易所Gemini相关地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在过去5小时内归集并转出逾20万枚ETH(超3亿美元)。[2022/7/19 2:22:08]
3.因为兑换出来的结果是通过兑换后ExchangeWithAtomic合约里的USDT代币余额减去兑换前该合约里的USDT代币余额,但问题就在兑换USDC->ATK后,会调用ATK代币的转账函数,该函数由攻击恶意构造会通过攻击合约调用ExchangeWithAtomic合约的depositAsset函数来将闪电贷来的284.4万USDT代币存入ExchangeWithAtomic合约中。此时攻击合约在ExchangeWithAtomic合约里的存款被成功记账为284.47万枚并且ExchangeWithAtomic合约里的USDT代币余额为568.9万枚,使得攻击者兑换出的USDT代币的数量被计算为兑换后的568.9万减去兑换前的284.47万等于284.47万;
慢雾:有用户遭钓鱼攻击,在OpenSea上架的NFT以极低匹配价格售出:据慢雾消息,有用户在 OpenSea 挂单售卖的 NFT 被恶意的以远低于挂单价匹配买。经慢雾安全团队分析,此是由于该受害用户遭受钓鱼攻击,错误的对攻击者精心构造的恶意订单进行签名,恶意订单中指定了极低的出售价格、买方地址为攻击者以及出售 NFT 为受害用户在 OpenSea 上架的待出售 NFT。攻击者使用受害用户已签名的出售订单以及攻击者自己的购买订单在 OpenSea 中进行匹配,并以攻击者指定的极低价格成交,导致受害用户的 NFT 以非预期的价格售出。[2021/12/11 7:31:47]
4.之后兑换后的USDT代币最后会通过调用库函数creditUserAssets来更新攻击合约在ExchangeWithAtomic合约里的使用的账本,导致攻击合约最终在ExchangeWithAtomic合约里USDT代币的存款记账为568.9万枚;
慢雾: 警惕比特币RBF风险:据BitMEX消息,比特币于区块高度666833出现陈腐区块,并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看,双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]
5.最后攻击者调用ExchangeWithAtomic合约里的withdraw函数将USDT提取出来,归还闪电贷后将剩余的283.6万枚USDT代币换成WETH获利。攻击者利用一样的手法在BSC链上的也发起了攻击,获利19.1万美元;
此次攻击的根本原因在于合约兑换功能的函数没有做重入保护,并且兑换后再次更新账本存款的数值是根据兑换前后合约里的代币余额差值来计算的,导致攻击者利用假代币重入了存款函数获得超过预期的代币。
美元稳定币USDC发行方Circle发布2022年12月的储备报告,该报告由GrantThornton会计集团审计,详细说明了稳定币发行方Circle的储备金库的构成.
1900/1/1 0:00:00据《华尔街日报》报道,通过对监管公告的分析,Coinbase联合创始人兼首席执行官BrianArmstrong自去年11月以来通过出售股票赚取了400万美元.
1900/1/1 0:00:00作者:DanielLi,CoinVoiceLayer2明星项目Optimism代币OP在过去的一周内出现了大幅涨幅,相较于最低点位的0.98$,最高时涨到了1.39$,涨幅超过了40%.
1900/1/1 0:00:00撰文:Alan,WebX实验室ETH当前的年通货膨胀率为-0.02%,自合并以来总供应量减少了9500多枚根据UltrasoundMoney的数据,ETH年通货膨胀率在1月15日降至0以下.
1900/1/1 0:00:00作者:99Global前言在Web3之前的互联网浪潮中,几乎所有面向消费者的商业模式都是流量经济,更准确的说是广告模式.
1900/1/1 0:00:00整理:饼干,ChainCatcher“过去24小时都发生了哪些重要事件”?1、何一:币安希望四大愿意审计加密资产.
1900/1/1 0:00:00