OrionProtocol遭受重入攻击事件分析

2023年2月2日下午，以太坊和币安智能链上的OrionProtocol项目因合约漏洞遭受重入攻击，总计损失约290万美元的加密资产，其中包括2,844,766 USDT（以太坊）和191,606 BUSD（BSC）。

攻击过程分析

攻击者首先部署了一个自定义Token合约，并进行了相应的转移和授权操作，为后续攻击做准备。随后，攻击者通过某去中心化交易所的swap功能借入资金，并调用OrionProtocol的ExchangeWithAtomic.swapThroughOrionPool方法进行代币兑换。兑换路径设置为USDC → 攻击者自定义Token → USDT。

在兑换过程中，攻击者利用自定义Token合约中的回调函数，重复调用ExchangeWithAtomic.depositAsset方法，导致存款金额被累加。最终，攻击者通过取款操作完成了获利。

资金流向

攻击者的初始资金来源于某大型交易平台的热钱包。获利的1,651枚ETH中，657.5枚仍留存在攻击者的钱包地址，其余部分已通过混币工具进行了转移。

漏洞分析

核心问题出在ExchangeWithAtomic合约的doSwapThroughOrionPool函数中。该函数在执行代币转账后更新curBalance变量，这为重入攻击创造了条件。攻击者通过在自定义Token的transfer函数中添加回调逻辑，重复调用depositAsset函数，导致curBalance被错误更新。最终，攻击者在偿还闪电贷后，通过withdraw函数提取了超额资金。

防范建议

1. 合约开发应遵循"检查-生效-交互"（Checks-Effects-Interactions）模式，避免在状态更新前进行外部调用。

2. 在实现代币兑换功能时，需考虑各种Token类型和兑换路径可能带来的安全风险。

3. 增加重入锁等安全机制，防止重入攻击。

4. 对关键操作实施访问控制和限额措施。

5. 进行全面的安全审计，特别关注涉及资金操作的核心功能。

此事件再次凸显了智能合约安全的重要性。项目方应持续关注合约安全，定期进行代码审计和漏洞修复，以确保用户资产的安全。同时，用户在参与新项目时也应保持警惕，关注项目的安全状况和审计报告。