ITH:慢雾:Orion Protocol被黑根本原因在于合约兑换功能的函数没有做重入保护_WITH价格

慢雾安全团队发布了OrionProtocol被黑分析,OrionProtocol项目的ETH和BSC链上的合约遭到攻击,攻击者获利约302.7万美元。此次攻击的根本原因在于合约兑换功能的函数没有做重入保护,并且兑换后再次更新账本存款的数值是根据兑换前后合约里的代币余额差值来计算的,导致攻击者利用假代币重入了存款函数获得超过预期的代币。

由于尼日利亚央行对加密实体的打击,Kurepay将于2022年一季度暂停运营:11月23日消息,为加密货币和法币提供社交支付应用程序的尼日利亚初创公司Kurepay表示,尼日利亚央行(CBN)目前对加密货币实体的打击已迫使其暂停在尼日利亚的业务。Kurepay将于2022年第一季度开始暂停运营。届时,APP利用区块链技术的Kurepay将开始将其业务限制在OTC和加密货币咨询服务。Kurepay首席执行官Abikure Tega表示:“今年对于尼日利亚加密货币的采用和扩张来说是非常可怕的,CBN继续采取极端措施,以减缓和挫败尼日利亚参与这个世界上增长最快的新兴行业的能力。”Tega补充说,当CBN拒绝加密公司进入银行生态系统时,这导致许多加密货币业务关闭。同样的封锁也迫使其他公司使用P2P系统大幅减少业务流。据Tega称,CBN 2月5日的指令迫使Kurepay切换到代理网络模式,使客户可以直接相互交易。(Bitcoin.com)[2021/11/23 7:06:24]

具体分析如下:1.攻击者首先调用ExchangeWithAtomic合约的depositAsset函数进行存款,存入0.5个USDC代币为下面的攻击作准备;2.攻击者闪电贷出284.47万枚USDT代币,接着调用ExchangeWithAtomic合约的doSwapThroughOrionPool函数兑换代币,兑换路径是;3.因为兑换出来的结果是通过兑换后ExchangeWithAtomic合约里的USDT代币余额减去兑换前该合约里的USDT代币余额,但问题就在兑换USDC->ATK后,会调用ATK代币的转账函数,该函数由攻击恶意构造会通过攻击合约调用ExchangeWithAtomic合约的depositAsset函数来将闪电贷来的284.4万USDT代币存入ExchangeWithAtomic合约中。此时攻击合约在ExchangeWithAtomic合约里的存款被成功记账为284.47万枚并且ExchangeWithAtomic合约里的USDT代币余额为568.9万枚,使得攻击者兑换出的USDT代币的数量被计算为兑换后的568.9万减去兑换前的284.47万等于284.47万;4.之后兑换后的USDT代币最后会通过调用库函数creditUserAssets来更新攻击合约在ExchangeWithAtomic合约里的使用的账本,导致攻击合约最终在ExchangeWithAtomic合约里USDT代币的存款记账为568.9万枚;5.最后攻击者调用ExchangeWithAtomic合约里的withdraw函数将USDT提取出来,归还闪电贷后将剩余的283.6万枚USDT代币换成WETH获利。攻击者利用一样的手法在BSC链上的也发起了攻击,获利19.1万美元。

声音 | Weiss Ratings:比特币算力创新高不仅由于自身增长,也得益于ASIC矿机更加高效:Weiss Ratings发推称,比特币本周又达到了一个网络性能里程碑,它的算力达到了历史新高——80EH/s。这不仅仅是因为比特币网络本身在增长,同时也由于ASIC矿机变得更加高效。[2019/8/10]

此前今日早些时候消息,OrionProtocol在攻击事件中损失约300万美元,官方暂停存款功能并正修复漏洞。

动态 | 外媒:个人用户对XRP消极是由于其并不是真正去中心化的货币:CCN发文探讨企业以及个人用户对XRP态度不一的原因。其表示,通过使用XRP,银行等机构在实现跨境支付时将中间人排除在外。而没有第三方参与,成本将大大降低。同时,企业对XRP感兴趣的的另一个原因是其可扩展性。而多数个人用户讨厌XRP,是因为其认为这是银行家的加密货币。通过与金融机构合作,它偏离了中本聪(Satoshi Nakamoto)的点对点货币愿景,使人们能够从银行取回控制权。[2019/5/19]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-3:780ms