比特丛林:Conic Finance ETH Omnipool因遭只读重入攻击,已造成损失326万美元

This article is not available in the current language yet. Showing the original version.
Bit Jungle比特丛林
Bit Jungle比特丛林
2023年7月10日,Conic Finance ETH Omnipool由于存在只读重入攻击漏洞,已造成损失高达326万美元。

涉案资金流向

截止到 2023年7月22日,攻击者(0x8D67db0b205E32A5Dd96145F022Fa18Aae7DC8Aa)从Conic ETH Pool上提取1,724枚ETH,随后转移到了0x3d32C5a2E592c7B17e16bdDc87EAb75f33ae3010。资产目前在0x3d32C5a2E592c7B17e16bdDc87EAb75f33ae3010停留。

比特丛林:Conic Finance ETH Omnipool因遭只读重入攻击,已造成损失326万美元

被攻击原因分析

攻击者(0x8D67db0b205E32A5Dd96145F022Fa18Aae7DC8Aa)从Conic ETH Pool上提取1,724枚ETH。https://etherscan.io/tx/0x8b74995d1d61d3d7547575649136b8765acb22882960f0636941c44ec7bbe146

比特丛林:Conic Finance ETH Omnipool因遭只读重入攻击,已造成损失326万美元

https://etherscan.io/address/0x8D67db0b205E32A5Dd96145F022Fa18Aae7DC8Aa

比特丛林:Conic Finance ETH Omnipool因遭只读重入攻击,已造成损失326万美元

随后转移到了0x3d32C5a2E592c7B17e16bdDc87EAb75f33ae3010。https://etherscan.io/tx/0x388a60c2958cd6dd5f8b9efe8163938700fcdc4ac40b8e70d07d27163b07acf3

比特丛林:Conic Finance ETH Omnipool因遭只读重入攻击,已造成损失326万美元

资产目前在0x3d32C5a2E592c7B17e16bdDc87EAb75f33ae3010停留。https://etherscan.io/address/0x3d32c5a2e592c7b17e16bddc87eab75f33ae3010

比特丛林:Conic Finance ETH Omnipool因遭只读重入攻击,已造成损失326万美元

比特丛林:Conic Finance ETH Omnipool因遭只读重入攻击,已造成损失326万美元

结合其交易记录,并分析合约

比特丛林:Conic Finance ETH Omnipool因遭只读重入攻击,已造成损失326万美元

比特丛林:Conic Finance ETH Omnipool因遭只读重入攻击,已造成损失326万美元

通过分析可以发现这个漏洞的根本原因是存在只读重入攻击。攻击者可在交易时通过只读重入漏洞去操纵价格,进而窃取大量的ETH。

本次安全事件造成的影响

首先,该平台上的资产被盗,意味着使用该平台的其他用户的资产也可能会受到影响。这对于那些在Conic Finance上存入大量资产的用户来说影响尤为严重。其次,这起事件不仅严重影响该平台声誉,而且严重影响用户对该平台的信任,尤其是那些在去中心化金融(DeFi)协议中积极参与的用户。由于DeFi协议依赖于用户对平台的信任和参与,这起事件可能会导致用户流失,以及对市场信心的下降。为了避免类似的风险,建议其他用户采取以下措施:
  • 用户需要谨慎地选择参与DeFi协议,并需要了解他们在协议中所面临的风险。
  • 用户应该了解DeFi协议的安全性及其背后的技术逻辑,以便更好地评估它们的风险和回报。
  • 用户应当通过查看协议的审计报告,了解协议的安全状况。
  • 用户还可以选择使用第三方保险或保障机构,以降低风险和保护自己的资产。
同时,最近发生的两起安全事件都是由于重入攻击导致的。为了避免类似事件再次发生,我们建议项目方采取以下措施:
  • 使用最新的安全标准:采用最新的安全标准,例如Solidity 0.9及以上版本,有助于降低重入攻击的风险。
  • 限制合约的调用深度:限制合约的调用深度可以防止攻击者利用递归调用实施重入攻击。
  • 检查外部合约调用:在调用外部合约之前,需要仔细检查合约的安全性,确保其不存在漏洞或受到攻击者的控制。
  • 检查合约的状态变量:在使用状态变量时,需要确保在调用外部合约之后进行正确的更新,以避免攻击者利用未更新的状态变量进行攻击。
  • 使用锁定机制:在合约中使用锁定机制可以防止重入攻击和其他并发问题。
  • 限制资金的访问:在合约中限制对资金的访问,可以减少攻击者进行重入攻击的机会。
  • 定期审查代码:定期审查代码可以帮助发现潜在的漏洞和安全问题,并及时修复它们。
后续的调查正在进行中,bitjungle将密切关注,并向受影响的用户提供进一步支持和帮助。
Share to:

Author: Bit Jungle比特丛林

Opinions belong to the column author and do not represent PANews.

This content is not investment advice.

Image source: Bit Jungle比特丛林. If there is any infringement, please contact the author for removal.

Follow PANews official accounts, navigate bull and bear markets together
Telegram Discussion Group
Telegram News Channel
@PANews
Recommended Reading
PA日报

PA日报

PA日报|美团收购光年之外的全部权益;伊斯兰加密项目Islamic Coin完成2亿美元融资
一周预告

一周预告

Weekly preview | The White House Digital Asset Markets Working Group is expected to release its first crypto policy report on July 22; the Federal Reserve holds a meeting on bank capital
PA一线

PA一线

Important information from last night and this morning (April 2nd - April 3rd)
PA一线

PA一线

Important information from last night and this morning (February 26-February 27)
PA日报

PA日报

PA Daily | Hemi mainnet will be launched on March 12; Binance CEO said the current market adjustment is a tactical retracement rather than a trend reversal
PA日报

PA日报

PA Daily | FTX's next round of repayment distribution will begin on May 30; CZ will donate all tokens received in the wallet

Popular Articles

Industry News
Market Trends
Curated Readings
Subscribe
PANews App
24/7 blockchain news tracking and in-depth analysis.
Download PANews App
App StoreGoogle Play
PANews APP
OpenEden launches HYBOND to tokenize its BNY high-yield bond strategy.
PANews Newsflash