比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > Pol幣 > Info

USD:慢霧:Orion Protocol 被攻擊是因合約兌換功能的函數沒有做重入保護所致

Author:

Time:1900/1/1 0:00:00

今晨OrionProtocol項目的ETH和BSC鏈上的合約遭到攻擊,攻擊者獲利約302.7萬美元,對此次攻擊過程和原因慢霧安全團隊分析如下:

1.攻擊者首先調用ExchangeWithAtomic合約的depositAsset函數進行存款,存入0.5個USDC代幣為下面的攻擊作準備;

2.攻擊者閃電貸出284.47萬枚USDT代幣,接著調用ExchangeWithAtomic合約的doSwapThroughOrionPool函數兌換代幣,兌換路徑是;

慢霧:Apple Store惡意釣魚程序可模仿正常應用程序,盜取賬號密碼以繞過2FA:7月25日消息,慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例,其中Apple Store出現惡意釣魚程序,通過模仿正常應用程序盜取用戶賬號和密碼,然后攻擊者把自己的號碼加入雙重認證的信任號碼,控制賬號權限,用來繞過蘋果的2FA。“加密貨幣用戶務必注意,因為目前有不少用戶、錢包的備份方案是iCloud備份,一旦被攻擊,可能造成資產損失”。[2023/7/25 15:56:56]

3.因為兌換出來的結果是通過兌換后ExchangeWithAtomic合約里的USDT代幣余額減去兌換前該合約里的USDT代幣余額,但問題就在兌換USDC->ATK后,會調用ATK代幣的轉賬函數,該函數由攻擊惡意構造會通過攻擊合約調用ExchangeWithAtomic合約的depositAsset函數來將閃電貸來的284.4萬USDT代幣存入ExchangeWithAtomic合約中。此時攻擊合約在ExchangeWithAtomic合約里的存款被成功記賬為284.47萬枚并且ExchangeWithAtomic合約里的USDT代幣余額為568.9萬枚,使得攻擊者兌換出的USDT代幣的數量被計算為兌換后的568.9萬減去兌換前的284.47萬等于284.47萬;

慢霧:遠程命令執行漏洞CVE-2023-37582在互聯網上公開,已出現攻擊案例:金色財經報道,據慢霧消息,7.12日Apache RocketMQ發布嚴重安全提醒,披露遠程命令執行漏洞(CVE-2023-37582)目前PoC在互聯網上公開,已出現攻擊案例。Apache RocketMQ是一款開源的分布式消息和流處理平臺,提供高效、可靠、可擴展的低延遲消息和流數據處理能力,廣泛用于異步通信、應用解耦、系統集等場景。加密貨幣行業有大量平臺采用此產品用來處理消息服務,注意風險。漏洞描述:當RocketMQ的NameServer組件暴露在外網時,并且缺乏有效的身份認證機制時,攻擊者可以利用更新配置功能,以RocketMQ運行的系統用戶身份執行命令。[2023/7/14 10:54:22]

4.之后兌換后的USDT代幣最后會通過調用庫函數creditUserAssets來更新攻擊合約在ExchangeWithAtomic合約里的使用的賬本,導致攻擊合約最終在ExchangeWithAtomic合約里USDT代幣的存款記賬為568.9萬枚;

慢霧:警惕高危Apache Log4j2遠程代碼執行漏洞:據慢霧安全情報,在12月9日晚間出現了Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置,經多方驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架,建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響,并盡快升級新版本。[2021/12/10 7:30:00]

5.最后攻擊者調用ExchangeWithAtomic合約里的withdraw函數將USDT提取出來,歸還閃電貸后將剩余的283.6萬枚USDT代幣換成WETH獲利。攻擊者利用一樣的手法在BSC鏈上的也發起了攻擊,獲利19.1萬美元;

此次攻擊的根本原因在于合約兌換功能的函數沒有做重入保護,并且兌換后再次更新賬本存款的數值是根據兌換前后合約里的代幣余額差值來計算的,導致攻擊者利用假代幣重入了存款函數獲得超過預期的代幣。

Tags:USDITHWITHWITUSDI幣WITH coinFriends With Benefits ProSHIBAWITCH

Pol幣
ZUKI:一文速覽 Azuki 新推出的虛擬城市“ Hilumia ”

撰文:Odaily,十文虛擬時尚、游戲平臺、衍生項目或成為主線任務。從誕生之日起,作為去年NFT藍籌項目之一的Azuki,就夾帶著各種光環——三分鐘內售罄、地板價攀升極快、二次元潮牌、填補BYA.

1900/1/1 0:00:00
區塊鏈:游戲公鏈 Oasys 計劃到 2028 年推出自治 DAO

據Coinpost報道,游戲公鏈Oasys宣布已建立作為去中心化決策過程的治理體系,旨在在謀求項目去中心化的同時,討論針對鏈游行業的發展,包括制定專門用于游戲和元宇宙NFT的互操作性標準.

1900/1/1 0:00:00
APT:從三大維度解析頭部公鏈如何實現差異化運營

作者: Zolo,深潮TechFlow;linda鄭鄭,SuiWorldCo-Founder最近流行幾張圖,展示了各條公鏈的開發者數,日活數據等等.

1900/1/1 0:00:00
區塊鏈:盤點香港本土的 17 家加密風投機構

作者:Zen,PANews去年10月31日,香港政府在「香港金融科技周」發表宣言,決心競爭全球虛擬資產中心和Web3中心.

1900/1/1 0:00:00
APT:Aptos 崛起,背后靠的是什么?

作者:DanielLi,CoinVoiceAptos原生代幣APT絕對是今年最引人矚目的加密資產之一,在過去的一個月內它的價格將近翻了7倍,從最低點的3.08$,持續攀升.

1900/1/1 0:00:00
MEV:去中心化區塊構建的設計思路和潛在挑戰

作者:BallsyAlchemist,分布式資本研究員編譯:0x11,ForesightNews2022年初,有一個關于區塊構建潛在中心化以及MEV和區塊排序后PBS影響的討論.

1900/1/1 0:00:00
ads