慢雾:Orion Protocol 被攻击是因合约兑换功能的函数没有做重入保护所致_USD:Elon Buys Twitter

ForesightNews消息,据慢雾安全团队情报,2023年2月3日,OrionProtocol项目在以太坊和BNBChain链上的合约遭到攻击,攻击者获利约302.7万美元。慢雾安全团队以简讯的形式分享如下:1.攻击者首先调用ExchangeWithAtomic合约的depositAsset函数进行存款,存入0.5个USDC代币为下面的攻击作准备;2.攻击者闪电贷出284.47万枚USDT代币,接着调用ExchangeWithAtomic合约的doSwapThroughOrionPool函数兑换代币,兑换路径是;3.因为兑换出来的结果是通过兑换后ExchangeWithAtomic合约里的USDT代币余额减去兑换前该合约里的USDT代币余额,但问题就在将USDC兑换为ATK后,会调用ATK代币的转账函数,该函数由攻击恶意构造会通过攻击合约调用ExchangeWithAtomic合约的depositAsset函数来将闪电贷获得的284.4万USDT代币存入ExchangeWithAtomic合约中。此时攻击合约在ExchangeWithAtomic合约里的存款被成功记账为284.47万枚并且ExchangeWithAtomic合约里的USDT代币余额为568.9万枚,使得攻击者兑换出的USDT代币的数量被计算为兑换后的568.9万减去兑换前的284.47万等于284.47万;4.之后兑换后的USDT代币最后会通过调用库函数creditUserAssets来更新攻击合约在ExchangeWithAtomic合约里的使用的账本,导致攻击合约最终在ExchangeWithAtomic合约里USDT代币的存款记账为568.9万枚;5.最后攻击者调用ExchangeWithAtomic合约里的withdraw函数将USDT提取出来,归还闪电贷后将剩余的283.6万枚USDT代币换成WETH获利。攻击者利用一样的手法在BNBChain上的也发起了攻击,获利19.1万美元;此次攻击的根本原因在于合约兑换功能的函数没有做重入保护,并且兑换后再次更新账本存款的数值是根据兑换前后合约里的代币余额差值来计算的,导致攻击者利用假代币重入了存款函数获得超过预期的代币。

Line旗下NFT子公司Line Next完成1000万美元战略融资,软银、Hashed等参投:7月13日消息,据官方公告,日本通讯巨头Line旗下NFT子公司LineNext宣布完成1000万美元战略融资,本轮融资由软银、NAVER、NAVERWEBTOON、NAVERZ、LINE Games、CJENM、YG PLUS、SHIN SEGAE、Hashed、KAuction参投。

这10家公司将支持Line Next的全球NFT平台DOSI的推出和基于IP内容的NFT项目开发。通过此次投资,LineNext将扩大与IP内容、发行、游戏和娱乐公司在NFT内容业务和营销对接方面的战略合作。此前报道,LineNext宣布将与软银、Visa等26家公司合作,共建全球NFT生态。(linepluscorp.com)[2022/7/13 2:09:48]

XTZ突破6.4美元关口 日内涨幅为8.91%:火币全球站数据显示,XTZ短线上涨,突破6.4美元关口,现报6.4019美元,日内涨幅达到8.91%,行情波动较大,请做好风险控制。[2021/9/11 23:17:04]

MXC平台抹茶矿池杠杆借贷区今日13:00上线XTZ:据官方消息,MXC平台抹茶矿池杠杆借贷区将于2月28日13:00上线XTZ。MX持仓大于1千枚的用户可通过“杠杆借贷”参与XTZ锁仓PoS,最低锁仓周期为30天。目前,MXC抹茶POS矿池已支持几十个币种的杠杆借贷、持仓POS及锁仓POS,包括USDT、BTC、BCH、DASH、TRX、EOS、ATOM等等。详情点击原文。[2020/2/28]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:31ms0-4:884ms