区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > FTT > 正文

WIT:慢雾:Orion Protocol 被攻击是因合约兑换功能的函数没有做重入保护所致_WITH coin

作者:

时间:

ForesightNews消息,据慢雾安全团队情报,2023年2月3日,OrionProtocol项目在以太坊和BNBChain链上的合约遭到攻击,攻击者获利约302.7万美元。慢雾安全团队以简讯的形式分享如下:1.攻击者首先调用ExchangeWithAtomic合约的depositAsset函数进行存款,存入0.5个USDC代币为下面的攻击作准备;2.攻击者闪电贷出284.47万枚USDT代币,接着调用ExchangeWithAtomic合约的doSwapThroughOrionPool函数兑换代币,兑换路径是;3.因为兑换出来的结果是通过兑换后ExchangeWithAtomic合约里的USDT代币余额减去兑换前该合约里的USDT代币余额,但问题就在将USDC兑换为ATK后,会调用ATK代币的转账函数,该函数由攻击恶意构造会通过攻击合约调用ExchangeWithAtomic合约的depositAsset函数来将闪电贷获得的284.4万USDT代币存入ExchangeWithAtomic合约中。此时攻击合约在ExchangeWithAtomic合约里的存款被成功记账为284.47万枚并且ExchangeWithAtomic合约里的USDT代币余额为568.9万枚,使得攻击者兑换出的USDT代币的数量被计算为兑换后的568.9万减去兑换前的284.47万等于284.47万;4.之后兑换后的USDT代币最后会通过调用库函数creditUserAssets来更新攻击合约在ExchangeWithAtomic合约里的使用的账本,导致攻击合约最终在ExchangeWithAtomic合约里USDT代币的存款记账为568.9万枚;5.最后攻击者调用ExchangeWithAtomic合约里的withdraw函数将USDT提取出来,归还闪电贷后将剩余的283.6万枚USDT代币换成WETH获利。攻击者利用一样的手法在BNBChain上的也发起了攻击,获利19.1万美元;此次攻击的根本原因在于合约兑换功能的函数没有做重入保护,并且兑换后再次更新账本存款的数值是根据兑换前后合约里的代币余额差值来计算的,导致攻击者利用假代币重入了存款函数获得超过预期的代币。

法院要求SEC出具有关为何批准BTC和ETH为非证券的文件:数据研究员Leonidas Hadjiloizou 发推文说,法院已同意Ripple的申请,要求SEC出具有关为何批准比特币和以太坊为非证券的文件,另外还包括美国SEC关于XRP地位的内部通信以及有关另外十名托管人的文件。同时,美国地方法院法官Sarah Netburn裁定,Ripple Labs和SEC在4月6日下午2:00通过电话会议讨论相关细节。(U.today)[2021/3/25 19:18:12]

动态 | 马绍尔官员David?Paul发解释为何马绍尔群岛计划发布自己的加密货币:马绍尔群岛总统助理兼环境部长David?Paul发文解释为什么马绍尔群岛要发布自己的加密货币。 马绍尔群岛共和国自1979年成为独立民主国家以来,一直使用美元作为货币。今天,马绍尔正在推进使用区块链技术以数字形式发行主权货币的计划。马绍尔去年通过了《主权货币法案》,宣布打算发行一种新货币Sovereign (SOV),将与美元一起使用。发行货币当然是任何主权国家的特权,但史无前例的是,马绍尔选择使用区块链技术发行主权货币。 当马绍尔选择发行货币时,做了三个关键的决定。首先,货币将基于区块链技术,这对于马绍尔群岛至关重要。第二,货币供应量的增长将是预先确定的和防篡改的。最后但同样重要的是,这种合规性将被纳入货币协议本身,同时保持个人隐私。 他表示,区块链技术的出现为马绍尔这样的小国打开了一个充满机遇的世界。借助基于区块链的数字货币,马绍尔可以自动化大部分合规负担,并在国际舞台上发挥积极作用。区块链让马绍尔有机会以反映马绍尔价值观的方式最终获得货币独立。马绍尔打算以创新和负责任的方式抓住这个机会。[2019/9/4]

动态 | 澳本聪回应江卓尔“为何不了解Base58 编码”:我想通过 Base58 来误导听众:江卓尔和澳本聪在昨日辩论上,江卓尔问澳本聪名:为什么在销毁(burn)地址中使用 X 而不是 0。中本聪发明了用于这些地址的 Base58 编码模式,中本聪有意地排除了看起来相似的数字和字母,比如零和字母 O。为什么您会不了解中本聪发明的Base58 编码?

澳本聪(CSW)回应称,这是我的代码。我想通过 Base58 来误导听众,想让人们以为我不了解比特币。实际上 Base58 和交易无关,它只是钱包的实现方式,checksum 是钱包层面的东西,它是钱包交易时用来验证的东西,它并不存在比特币网络上。[2019/7/24]

标签:USDCHAWITHWITSFUSD币ConnectChainWITH coinSHIWBAWITCH TOKEN

FTT热门资讯
XT.com:XT.COM關於ZEN永續合約品種上線的公告_TPS

尊敬的XT.COM用戶:XT.COM將於2023年01月20日08:00上線ZEN/USDTU本位永續合約.

USD:2月合約狂歡贏取iPhone 14 Plus_TUSD

亲爱的8V用户: 合约交易,是一种可以透过杠杆,用较小资金、较低的交易成本,来投机操作的短线交易工具,对于想要短线做大金额交易的人来说.

DEF:2023年加密行业热点赛道_DEFI

告别了动荡不安、危机四伏的2022,我们迎来了新的一年,2023!在这一年我们期待并幻想着属于我们的未来,我们希望新的一年所有人都能够有健康的身体、良好的心态和鼓鼓的钱包.

WIT:以太坊核心开发者讨论上海升级公开测试网发布时间表和Cancun升级_USDJ币

金色财经报道,以太坊核心开发者在2月2日的电话会议#154讨论了上海升级公开测试网发布的时间表以及专注于EIP-4844的Cancun升级进展.

ARBI:为何 $GNS 的价值被严重低估?_GMX

我是一个不折不扣的$GNS大户,外加无情的甩卖者。$GNS是在其ATH的5%以内。尽管这样,你还是应该坐下来好好喝杯茶。让我向你解释为什么它的价值仍然被严重低估。让我们从最明显的地方开始.

ETH2:ETH 2.0 質押:增加BETH持倉,以獲得ETH 2.0質押專屬APR & VIP升級券!_rETH2

親愛的用戶: 幣安為所有 ETH2 階梯等級活動期間累積的BETH量*標準ETH2普通用戶&VIP1-2用戶VIP3-9用戶16004活動期間累計的BETH量*=-.