買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > FIL > Info

SOL:Ola Finance攻擊事件分析:400萬美元丟了,你以為這是愚人節故事?-ODAILY_SOLA

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。

漏洞交易

●其中一筆交易:

https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers

Solana生態去中心化保險協議Amulet Protocol已啟動測試網:9月7日消息,Solana生態去中心化保險協議Amulet Protocol已啟動測試網,用戶可在測試的同時完成項目團隊提供的任務來獲得獎勵。Amulet 表示目前正在接受Kudelski的審計,主網計劃于月底推出。

此前報道,Amulet Protocol于今年4月底宣布完成了由gumi Cryptos Capital領投的600萬美元種子輪融資。[2022/9/7 13:14:26]

●所有相關交易均可在此查到:

https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions

數字資產托管平臺Fireblocks已完成與Solana集成:金色財經報道,數字資產托管平臺 Fireblocks 宣布已完成對 Solana 的集成,同時通過 Web3 Engine 工具幫助開發人員在 Solana 鏈上構建 DeFi、GameFi 和 NFT 產品。(cointelegraph)[2022/8/30 12:58:21]

相關合約及地址

●攻擊者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75

●攻擊合約:

Solana生態PFP項目DeGods宣布DeDAO已收購一支BIG3聯盟的球隊:4月28日消息,Solana生態PFP項目DeGods宣布其社區DeDAO已收購一支BIG3聯盟的球隊,計劃以DUST代幣提供門票、商品和部分所有權,還將授權社區使用IP來構建獨立的收入流。

DeGods是一個通縮NFT項目,初始總量為1萬枚。在DeGods生態系統中,DeGod持有者可以選擇質押NFT來鑄造DUST代幣,也可以選擇銷毀DeGod來獲取DUST代幣,稀有度越高,獲得的DUST代幣越多。DeGods整個系列一天最多能銷毀一個,而且會篩選稀有度最低的那個來銷毀。[2022/4/28 2:37:45]

○0x632942c9BeF1a1127353E1b99e817651e2390CFF

Solana錢包Slope Finance完成800萬美元A輪融資,Solana Ventures領投:2月24日消息,Solana錢包Slope Finance完成800萬美元A輪融資,Solana Ventures和Jump Crypto領投,Sequoia China(紅杉中國)、Genesis Trading、VMS、Spark Digital、Circle Ventures、Huobi等參投。融資用于擴大在美國的團隊,Slope上個月在美國開設了第一個辦事處。(CoinDesk)[2022/2/24 10:12:07]

●OlaFinance相關合約:

○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611

○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729

攻擊流程

我們以0xe800f55這一筆交易舉例:

1.黑客部署了一個攻擊合約0x632942c。

2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。

3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。

4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。

5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。

因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。

雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。

自此,黑客完成了利用一筆抵押進行的多次借款。

6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。

漏洞為何會被利用

該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。

這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。

寫在最后

該次事件可通過安全審計發現相關風險。

若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。

技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。

400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。

Tags:OLALANASOLASOLUncle DolanSolanasolana幣怎么挖礦FRZ Solar System Coin

FIL
KSM:KSM是如何在Kusama和Statemine之間傳送的?-ODAILY_SAM

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
PRI:Footprint市場雙月報:DeFi緩慢復蘇,NFT熱度直線下降-ODAILY_PRINT

DataSource:FootprintAnalytics-February2022ReportDashboard2月,雖然俄烏沖突引發的宏觀經濟狀況下降,但區塊鏈領域的應用仍在穩步運行.

1900/1/1 0:00:00
DRE:Hundred與Agave閃電貸攻擊事件分析-ODAILY_FIN

1.前言 北京時間3月15日晚,知道創宇區塊鏈安全實驗室監測到Gnosis鏈上的借貸類協議HundredFinance與Agave均遭遇了閃電貸襲擊.

1900/1/1 0:00:00
ETHE:加密貨幣公司Tether與瑞士城市Lugano共創歐洲區塊鏈產業新重鎮-ODAILY_tether

瑞士盧加諾,2022年3月3日–Tether是支持區塊鏈技術的科技公司,驅動著市值最大的穩定幣(USD?),今天宣布與充滿活力的瑞士城市盧加諾合作.

1900/1/1 0:00:00
比特幣:每周礦業資訊(0110-0116)-ODAILY_ETH

1、 據BTC.com數據,在哈薩克斯坦恢復網絡后,近三日比特幣挖礦全網算力已經超過200EH/s,達到歷史新高。此前外界普遍預計,2022年比特幣全網算力將達到300EH/s.

1900/1/1 0:00:00
USDC:OneRing Finance閃電貸攻擊事件分析-ODAILY_usdc幣圈最新消息

前言 北京時間2022年3月22日,知道創宇區塊鏈安全實驗室監測到Fantom生態穩定幣收益優化器OneRingFinance遭到閃電貸攻擊,黑客竊取逾145萬美元.

1900/1/1 0:00:00
ads