ATOM:慢雾：Orion Protocol 被攻击是因合约兑换功能的函数没有做重入保护所致_ATOMU

ForesightNews消息，据慢雾安全团队情报，2023年2月3日，OrionProtocol项目在以太坊和BNBChain链上的合约遭到攻击，攻击者获利约302.7万美元。慢雾安全团队以简讯的形式分享如下：1.攻击者首先调用ExchangeWithAtomic合约的depositAsset函数进行存款，存入0.5个USDC代币为下面的攻击作准备；2.攻击者闪电贷出284.47万枚USDT代币，接着调用ExchangeWithAtomic合约的doSwapThroughOrionPool函数兑换代币，兑换路径是；3.因为兑换出来的结果是通过兑换后ExchangeWithAtomic合约里的USDT代币余额减去兑换前该合约里的USDT代币余额，但问题就在将USDC兑换为ATK后，会调用ATK代币的转账函数，该函数由攻击恶意构造会通过攻击合约调用ExchangeWithAtomic合约的depositAsset函数来将闪电贷获得的284.4万USDT代币存入ExchangeWithAtomic合约中。此时攻击合约在ExchangeWithAtomic合约里的存款被成功记账为284.47万枚并且ExchangeWithAtomic合约里的USDT代币余额为568.9万枚，使得攻击者兑换出的USDT代币的数量被计算为兑换后的568.9万减去兑换前的284.47万等于284.47万；4.之后兑换后的USDT代币最后会通过调用库函数creditUserAssets来更新攻击合约在ExchangeWithAtomic合约里的使用的账本，导致攻击合约最终在ExchangeWithAtomic合约里USDT代币的存款记账为568.9万枚；5.最后攻击者调用ExchangeWithAtomic合约里的withdraw函数将USDT提取出来，归还闪电贷后将剩余的283.6万枚USDT代币换成WETH获利。攻击者利用一样的手法在BNBChain上的也发起了攻击，获利19.1万美元；此次攻击的根本原因在于合约兑换功能的函数没有做重入保护，并且兑换后再次更新账本存款的数值是根据兑换前后合约里的代币余额差值来计算的，导致攻击者利用假代币重入了存款函数获得超过预期的代币。

慢雾：CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus:7月26日消息，慢雾发推称，CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus Group。慢雾表示，TGGMvM开头地址收到了与Alphapo事件有关TJF7md开头地址转入的近1.2亿枚TRX，而TGGMvM开头地址在7月22日时还收到了通过TNMW5i开头和TJ6k7a开头地址转入的来自Coinspaid热钱包的资金。而TNMW5i开头地址则曾收到了来自Atomic攻击者使用地址的资金。[2023/7/26 16:00:16]

慢雾：过去一周Web3生态系统因安全事件损失近160万美元:6月26日消息，慢雾发推称，过去一周Web3生态系统因安全事件损失近160万美元，包括MidasCapital、Ara、VPANDADAO、Shido、Slingshot、IPO、Astaria。[2023/6/26 22:00:21]

慢雾：警惕ETH新型假充值，已发现在野ETH假充值攻击:经慢雾安全团队监测，已发现存在ETH假充值对交易所攻击的在野利用，慢雾安全团队决定公开修复方案，请交易所或钱包及时排查ETH入账逻辑，必要时联系慢雾安全团队进行检测，防止资金丢失。建议如没有把握成功修复可先临时暂停来自合约地址的充值请求。再进行如下修复操作：1、针对合约ETH充值时，需要判断内联交易中是否有revert的交易，如果存在revert的交易，则拒绝入账。2、采用人工入账的方式处理合约入账，确认充值地址到账后才进行人工入账。同时需要注意，类以太坊的公链币种也可能存在类似的风险。[2020/5/23]

标签：ATOMTOMIATOTOMATOM币下载CryptomillionsATOMUatom币价格今日行情

聚币热门资讯