買以太坊 買以太坊
Ctrl+D 買以太坊
ads

WIT:慢霧:Orion Protocol 被攻擊是因合約兌換功能的函數沒有做重入保護所致_WITH

Author:

Time:1900/1/1 0:00:00

今晨OrionProtocol項目的ETH和BSC鏈上的合約遭到攻擊,攻擊者獲利約302.7萬美元,對此次攻擊過程和原因慢霧安全團隊分析如下:

1.攻擊者首先調用ExchangeWithAtomic合約的depositAsset函數進行存款,存入0.5個USDC代幣為下面的攻擊作準備;

2.攻擊者閃電貸出284.47萬枚USDT代幣,接著調用ExchangeWithAtomic合約的doSwapThroughOrionPool函數兌換代幣,兌換路徑是;

慢霧:Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函數相關問題:據Multichain(AnySwap)早前消息,2022年01月18日,一個影響6個跨鏈Token的關鍵漏洞正在被利用。慢霧安全團隊進行分析后表示,此次主要是由于anySwapOutUnderlyingWithPermit函數為檢查用戶傳入的Token的合法性,且未考慮并非所有underlying代幣都有實現permit函數,導致用戶資產被未授權轉出。慢霧安全團隊建議:應對用戶傳入的參數是否符合預期進行檢查,且在與其他合約進行對接時應考慮好兼容性問題。[2022/1/19 8:57:49]

3.因為兌換出來的結果是通過兌換后ExchangeWithAtomic合約里的USDT代幣余額減去兌換前該合約里的USDT代幣余額,但問題就在兌換USDC->ATK后,會調用ATK代幣的轉賬函數,該函數由攻擊惡意構造會通過攻擊合約調用ExchangeWithAtomic合約的depositAsset函數來將閃電貸來的284.4萬USDT代幣存入ExchangeWithAtomic合約中。此時攻擊合約在ExchangeWithAtomic合約里的存款被成功記賬為284.47萬枚并且ExchangeWithAtomic合約里的USDT代幣余額為568.9萬枚,使得攻擊者兌換出的USDT代幣的數量被計算為兌換后的568.9萬減去兌換前的284.47萬等于284.47萬;

慢霧:BXH于BSC鏈被盜的ETH、BTC類資產已全部跨鏈轉至相應鏈:11月3日消息,10月30日攻擊BXH的黑客(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)在洗幣過程中,多次使用了 AnySwap、PancakeSwap、Ellipsis 等兌換平臺,其中部分 ETH 代幣被兌換成 BTC。此外,黑客現已將 13304.6 ETH、642.88 BTCB 代幣從 BSC 鏈轉移到 ETH、BTC 鏈,目前,初始黑客獲利地址仍有 15546 BNB 和價值超 3376 萬美元的代幣。慢霧 AML 將持續監控被盜資金的轉移,拉黑攻擊者控制的所有錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。[2021/11/3 6:28:49]

4.之后兌換后的USDT代幣最后會通過調用庫函數creditUserAssets來更新攻擊合約在ExchangeWithAtomic合約里的使用的賬本,導致攻擊合約最終在ExchangeWithAtomic合約里USDT代幣的存款記賬為568.9萬枚;

動態 | 慢霧:Cryptopia被盜資金發生轉移:據慢霧科技反洗錢(AML)系統監測顯示,Cryptopia攻擊者分兩次轉移共20,843枚ETH,價值超380萬美元。目前資金仍停留在 0x90d78A49 和 0x6D693560 開頭的兩個新地址,未向交易所轉移。據悉,今年早些時候加密貨幣交易所Cryptopia遭受了黑客攻擊,價值超過1600萬美元的以太坊和ERC-20代幣被盜。[2019/11/17]

5.最后攻擊者調用ExchangeWithAtomic合約里的withdraw函數將USDT提取出來,歸還閃電貸后將剩余的283.6萬枚USDT代幣換成WETH獲利。攻擊者利用一樣的手法在BSC鏈上的也發起了攻擊,獲利19.1萬美元;

此次攻擊的根本原因在于合約兌換功能的函數沒有做重入保護,并且兌換后再次更新賬本存款的數值是根據兌換前后合約里的代幣余額差值來計算的,導致攻擊者利用假代幣重入了存款函數獲得超過預期的代幣。

Tags:ITHWITWITHUSDmith幣最新消息MIDWITDontPlaywithKittywstUSDT幣

以太坊交易所
VIN:紐約梅隆銀行 CEO 稱數字資產是該銀行“最長期的投資”_數字資產什么意思

紐約梅隆銀行首席執行官RobinVince在周五的財報電話會議上表示,數字資產是該銀行“最長期的投資”,并承認銀行必須適應技術變革.

1900/1/1 0:00:00
ASH:去中心化區塊構建的設計思路和潛在挑戰_LAYER

作者:BallsyAlchemist,分布式資本研究員編譯:0x11,ForesightNews2022年初,有一個關于區塊構建潛在中心化以及MEV和區塊排序后PBS影響的討論.

1900/1/1 0:00:00
LOCK:BlockSec 推出的鏈上數據分析插件 MetaDock 下載量超 3000_Finance Blocks

Web3安全基礎設施服務商BlockSec推出的Chrome瀏覽器插件MetaDock下載量突破3000,單月增幅超500%.

1900/1/1 0:00:00
OUT:Outlier Ventures 推出第二輪 Web3 奢侈品商業發展加速計劃,今日已開放申請_UBI

Web3加速器和投資機構OutlierVentures聯合奢侈時尚平臺FARFETCHLimited聯合推出了Web3奢侈品商業發展加速器計劃DreamAssemblyBaseCampCohor.

1900/1/1 0:00:00
數字貨幣:晚報 | 美 SEC 將把加密等新興技術監管作為今年首要任務;今年超級碗賽事已禁止加密公司投放廣告_區塊鏈幣是什么幣

整理:西昻翔,ChainCatcher“過去24小時都發生了哪些重要事件”?1、美SEC:將把加密等新興技術監管作為2023年首要任務美國證券交易委員會在其官網發布聲明.

1900/1/1 0:00:00
BEC:Zebec Protocol 與 CVL Network 達成戰略合作,并為其提供支付服務_zebra

近日,流支付協議ZebecProtocol與DeFi協議CVLNetwork達成戰略合作,后者將使用Zebec來滿足他們快速、安全和輕松的支付需求.

1900/1/1 0:00:00
ads