📢 Gate广场 #创作者活动第一期# 火热开启,助力 PUMP 公募上线!
Solana 爆火项目 Pump.Fun($PUMP)现已登陆 Gate 平台开启公开发售!
参与 Gate广场创作者活动,释放内容力量,赢取奖励!
📅 活动时间:7月11日 18:00 - 7月15日 22:00(UTC+8)
🎁 活动总奖池:$500 USDT 等值代币奖励
✅ 活动一:创作广场贴文,赢取优质内容奖励
📅 活动时间:2025年7月12日 22:00 - 7月15日 22:00(UTC+8)
📌 参与方式:在 Gate 广场发布与 PUMP 项目相关的原创贴文
内容不少于 100 字
必须带上话题标签: #创作者活动第一期# #PumpFun#
🏆 奖励设置:
一等奖(1名):$100
二等奖(2名):$50
三等奖(10名):$10
📋 评选维度:Gate平台相关性、内容质量、互动量(点赞+评论)等综合指标;参与认购的截图的截图、经验分享优先;
✅ 活动二:发推同步传播,赢传播力奖励
📌 参与方式:在 X(推特)上发布与 PUMP 项目相关内容
内容不少于 100 字
使用标签: #PumpFun # Gate
发布后填写登记表登记回链 👉 https://www.gate.com/questionnaire/6874
🏆 奖励设置:传播影响力前 10 名用户,瓜分 $2
OrionProtocol遭受290万美元重入攻击 ETH和BSC双链受损
OrionProtocol遭遇重入攻击事件分析
事件概述
2023年2月2日,OrionProtocol在以太坊和币安智能链上遭受重入攻击,导致约290万美元损失。攻击者利用合约漏洞,在以太坊链上窃取了2,844,766 USDT,在币安智能链上窃取了191,606 BUSD。
攻击过程分析
攻击者首先部署了一个自定义Token合约,为后续攻击做准备。
通过UNI-V2的swap方法进行借贷,并调用ExchangeWithAtomic.swapThroughOrionPool方法进行代币兑换。兑换路径包含攻击者创建的Token合约地址。
在执行swapThroughOrionPool方法时,攻击者利用自定义Token合约中的回调函数,重复调用ExchangeWithAtomic.depositAsset方法,导致存款金额被多次累加。
最后,攻击者通过取款操作完成获利。
资金流向
攻击者的初始资金来自某交易平台的热钱包。获利的1,651 ETH中,657.5 ETH仍留在攻击者钱包,其余已通过混币服务转移。
漏洞分析
核心问题出在doSwapThroughOrionPool函数中。该函数在执行_doSwapTokens时,先进行转账操作,然后更新curBalance变量。攻击者利用自定义Token的transfer函数中添加回调,在curBalance更新前再次调用depositAsset函数,导致余额计算错误。
防范建议
合约设计时需考虑多种Token和兑换路径可能带来的安全风险。
遵循"检查-生效-交互"(Checks-Effects-Interactions)模式编写合约代码,即先进行条件检查,然后更新状态变量,最后再进行外部调用。
增加重入锁等安全机制,防止重入攻击。
定期进行代码审计和漏洞扫描,及时修复潜在安全隐患。
限制单次交易的最大金额,设置交易频率限制等措施,降低潜在攻击造成的损失。
通过采取这些措施,项目方可以显著提高合约安全性,降低遭受类似攻击的风险。持续关注智能合约安全,对于维护Web3生态系统的健康发展至关重要。