加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

慢霧:Orion Protocol被黑根本原因在于合約兌換功能的函數沒有做重入保護_USD:WIT

Author:

Time:1900/1/1 0:00:00

慢霧安全團隊發布了OrionProtocol被黑分析,OrionProtocol項目的ETH和BSC鏈上的合約遭到攻擊,攻擊者獲利約302.7萬美元。此次攻擊的根本原因在于合約兌換功能的函數沒有做重入保護,并且兌換后再次更新賬本存款的數值是根據兌換前后合約里的代幣余額差值來計算的,導致攻擊者利用假代幣重入了存款函數獲得超過預期的代幣。

慢霧:JPEG'd攻擊者或已將全部6106.75枚ETH歸還給項目方:8月4日消息,慢霧MistTrack監測顯示,JPEG'd攻擊者或已將全部6106.75枚ETH歸還給項目方。[2023/8/4 16:18:46]

具體分析如下:1.攻擊者首先調用ExchangeWithAtomic合約的depositAsset函數進行存款,存入0.5個USDC代幣為下面的攻擊作準備;2.攻擊者閃電貸出284.47萬枚USDT代幣,接著調用ExchangeWithAtomic合約的doSwapThroughOrionPool函數兌換代幣,兌換路徑是;3.因為兌換出來的結果是通過兌換后ExchangeWithAtomic合約里的USDT代幣余額減去兌換前該合約里的USDT代幣余額,但問題就在兌換USDC->ATK后,會調用ATK代幣的轉賬函數,該函數由攻擊惡意構造會通過攻擊合約調用ExchangeWithAtomic合約的depositAsset函數來將閃電貸來的284.4萬USDT代幣存入ExchangeWithAtomic合約中。此時攻擊合約在ExchangeWithAtomic合約里的存款被成功記賬為284.47萬枚并且ExchangeWithAtomic合約里的USDT代幣余額為568.9萬枚,使得攻擊者兌換出的USDT代幣的數量被計算為兌換后的568.9萬減去兌換前的284.47萬等于284.47萬;4.之后兌換后的USDT代幣最后會通過調用庫函數creditUserAssets來更新攻擊合約在ExchangeWithAtomic合約里的使用的賬本,導致攻擊合約最終在ExchangeWithAtomic合約里USDT代幣的存款記賬為568.9萬枚;5.最后攻擊者調用ExchangeWithAtomic合約里的withdraw函數將USDT提取出來,歸還閃電貸后將剩余的283.6萬枚USDT代幣換成WETH獲利。攻擊者利用一樣的手法在BSC鏈上的也發起了攻擊,獲利19.1萬美元。

慢霧:Solana公鏈上發生大規模盜幣,建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所:8月3日消息,據慢霧區情報,Solana公鏈上發生大規模盜幣事件,大量用戶在不知情的情況下被轉移SOL和SPL代幣,慢霧安全團隊對此事件進行跟蹤分析:

已知攻擊者地址:

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

目前攻擊仍在進行,從交易特征上看,攻擊者在沒有使用攻擊合約的情況下,對賬號進行簽名轉賬,初步判斷是私鑰泄露。不少受害者反饋,他們使用過多種不同的錢包,以移動端錢包為主,我們推測可能問題出現在軟件供應鏈上。在新證據被發現前,我們建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所等相對安全的位置,等待事件分析結果。[2022/8/3 2:55:22]

此前今日早些時候消息,OrionProtocol在攻擊事件中損失約300萬美元,官方暫停存款功能并正修復漏洞。

聲音 | 慢霧:99%以上的勒索病使用BTC進行交易:據慢霧消息,勒索病已經成為全球最大的安全威脅之一,99%以上的勒索病使用BTC進行交易,到目前為止BTC的價格已經漲到了一萬多美元,最近一兩年針對企業的勒索病攻擊也越來越多,根據Malwarebytes統計的數據,全球TO B的勒索病攻擊,從2018年6月以來已經增加了363%,同時BTC的價格也直線上漲,黑客現在看準了數字貨幣市場,主要通過以下幾個方式對數字貨幣進行攻擊:

1.通過勒索病進行攻擊,直接勒索BTC。

2.通過惡意程序,盜取受害者數字貨幣錢包。

3.通過數字貨幣網站漏洞進行攻擊,盜取數字貨幣。[2019/8/25]

Tags:USDITHWITHWITusdt幣app下載LITHO價格WITH coinSWITCH

芝麻開門交易所下載
名為a16z的地址過去24小時向SolidLizard和Solidly V2兩個協議注入資金_AUTH:SOL價格

據鏈上分析師@0xsurferboy在社交媒體上發布的鏈上數據顯示,DeBank中名為a16z的地址在過去24小時內一直在向SolidLizard和SolidlyV2兩個協議注入資金.

1900/1/1 0:00:00
Collab.Land將向200多萬用戶空投治理代幣COLLAB,2月23日開放認領_COL:polygon幣當前美元價格

據Decrypt報道,加密社區管理工具Collab.Land宣布將發布治理和效用代幣COLLAB,并將向200多萬符合條件的用戶空投代幣,空投份額將占代幣供應量的25%.

1900/1/1 0:00:00
Edge錢包內發現安全漏洞,約2000個私鑰存在泄露風險_EDG:EDGE

據官方博客,Edge錢包表示在其應用中發現了一個安全漏洞,此漏洞通過將私鑰發送到Edge基礎設施而泄露了大約2000個私鑰,這相當于在Edge平臺上創建的大約總私鑰的0.01%.

1900/1/1 0:00:00
貝恩公司宣布收購Web3數字產品工作室Umbrage_MBR:Umbrella Protocol價格

據美通社報道,戰略咨詢公司貝恩公司宣布收購Web3數字產品工作室Umbrage。Umbrage將與Bain的創新與設計服務密切合作,并在產品管理、UI/UX設計、全棧開發、DevOps、QA和W.

1900/1/1 0:00:00
美國區塊鏈協會:SEC正在Coinbase內幕交易案中進行“缺席執法”_區塊鏈:SHAUN

據CoinDesk報道,美國區塊鏈協會在Coinbase內幕交易案中提交法庭之友簡報,稱美國證券交易委員會正在進行“缺席執法”,因為處于內幕交易案件中心的9種代幣的創建者與該案件無關,根據法規.

1900/1/1 0:00:00
外媒:歐盟擬議法案要求銀行將加密貨幣視為風險最高的資產類別之一_BIN:NCE

據CoinDesk報道,一份泄露的文件列出針對2021年一攬子計劃的最后一套擬議修正案,該修正案旨在使歐盟銀行資本規則與國際規范接軌,而銀行將不得不將加密貨幣視為風險最高的資產類別之一.

1900/1/1 0:00:00
ads