北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。
漏洞交易
●其中一筆交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
Solana生態去中心化保險協議Amulet Protocol已啟動測試網:9月7日消息,Solana生態去中心化保險協議Amulet Protocol已啟動測試網,用戶可在測試的同時完成項目團隊提供的任務來獲得獎勵。Amulet 表示目前正在接受Kudelski的審計,主網計劃于月底推出。
此前報道,Amulet Protocol于今年4月底宣布完成了由gumi Cryptos Capital領投的600萬美元種子輪融資。[2022/9/7 13:14:26]
●所有相關交易均可在此查到:
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
數字資產托管平臺Fireblocks已完成與Solana集成:金色財經報道,數字資產托管平臺 Fireblocks 宣布已完成對 Solana 的集成,同時通過 Web3 Engine 工具幫助開發人員在 Solana 鏈上構建 DeFi、GameFi 和 NFT 產品。(cointelegraph)[2022/8/30 12:58:21]
相關合約及地址
●攻擊者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75
●攻擊合約:
Solana生態PFP項目DeGods宣布DeDAO已收購一支BIG3聯盟的球隊:4月28日消息,Solana生態PFP項目DeGods宣布其社區DeDAO已收購一支BIG3聯盟的球隊,計劃以DUST代幣提供門票、商品和部分所有權,還將授權社區使用IP來構建獨立的收入流。
DeGods是一個通縮NFT項目,初始總量為1萬枚。在DeGods生態系統中,DeGod持有者可以選擇質押NFT來鑄造DUST代幣,也可以選擇銷毀DeGod來獲取DUST代幣,稀有度越高,獲得的DUST代幣越多。DeGods整個系列一天最多能銷毀一個,而且會篩選稀有度最低的那個來銷毀。[2022/4/28 2:37:45]
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
Solana錢包Slope Finance完成800萬美元A輪融資,Solana Ventures領投:2月24日消息,Solana錢包Slope Finance完成800萬美元A輪融資,Solana Ventures和Jump Crypto領投,Sequoia China(紅杉中國)、Genesis Trading、VMS、Spark Digital、Circle Ventures、Huobi等參投。融資用于擴大在美國的團隊,Slope上個月在美國開設了第一個辦事處。(CoinDesk)[2022/2/24 10:12:07]
●OlaFinance相關合約:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻擊流程
我們以0xe800f55這一筆交易舉例:
1.黑客部署了一個攻擊合約0x632942c。
2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。
3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。
4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。
5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。
因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。
雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。
自此,黑客完成了利用一筆抵押進行的多次借款。
6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。
漏洞為何會被利用
該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。
這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。
寫在最后
該次事件可通過安全審計發現相關風險。
若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。
技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。
400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。
Tags:OLALANASOLASOLUncle DolanSolanasolana幣怎么挖礦FRZ Solar System Coin
“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00DataSource:FootprintAnalytics-February2022ReportDashboard2月,雖然俄烏沖突引發的宏觀經濟狀況下降,但區塊鏈領域的應用仍在穩步運行.
1900/1/1 0:00:001.前言 北京時間3月15日晚,知道創宇區塊鏈安全實驗室監測到Gnosis鏈上的借貸類協議HundredFinance與Agave均遭遇了閃電貸襲擊.
1900/1/1 0:00:00瑞士盧加諾,2022年3月3日–Tether是支持區塊鏈技術的科技公司,驅動著市值最大的穩定幣(USD?),今天宣布與充滿活力的瑞士城市盧加諾合作.
1900/1/1 0:00:001、 據BTC.com數據,在哈薩克斯坦恢復網絡后,近三日比特幣挖礦全網算力已經超過200EH/s,達到歷史新高。此前外界普遍預計,2022年比特幣全網算力將達到300EH/s.
1900/1/1 0:00:00前言 北京時間2022年3月22日,知道創宇區塊鏈安全實驗室監測到Fantom生態穩定幣收益優化器OneRingFinance遭到閃電貸攻擊,黑客竊取逾145萬美元.
1900/1/1 0:00:00