北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。
漏洞交易
●其中一筆交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
Solana主網Beta Explorer和Solana基金會公共RPC端點因RPC節點軟件升級離線:1月8日消息,Solana Status發推稱,由于RPC節點軟件升級的測試版1.14中出現一個漏洞,主網Beta Explorer和Solana基金會公共RPC端點目前處于離線狀態。
Solana Status表示,出塊沒有受到影響,Solana網絡也未受到影響。該漏洞影響采用測試版本的其他節點。如果在測試版本中操作節點,請切換到1.13版本。[2023/1/8 11:01:17]
●所有相關交易均可在此查到:
Solana鏈上消息通知平臺Dialect宣布擴展至Aptos:8月31日消息,基于Solana的Web3智能消息平臺Dialect宣布,將支持Aptos生態系統,并將繼續支持Solana開發人員的所有需求。[2022/8/31 12:59:44]
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
相關合約及地址
●攻擊者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75
NFT鑄造平臺Metaplex:Solana主網宕機部分由于其Candy Machine程序爬蟲,將推出懲罰機制:5月1日消息,基于Solana的NFT鑄造平臺Metaplex發推表示,今日Solana主網宕機部分由于Candy Machine程序的爬蟲。為了進一步穩定網絡,該項目將很快對該程序部署一個機器人懲罰程序,當錢包嘗試完成無效交易時,將收取 0.01 SOL 罰款。收集到的懲罰資金將提供給 Candy Machine 實例的配置帳戶,然后,Candy Machine創建者將自行決定如何使用從這些罰款中收取的資金。
據了解,Metaplex 為藝術家和創作者提供了在Solana上啟動 NFT 應用程序的工具,此前曾完成4600萬美元融資,Multicoin Capital和Jump Crypto領投。[2022/5/1 2:43:38]
●攻擊合約:
VanEck推出的Polkadot、Solana和TRON ETN在德意志證券交易所上線:9月21日消息,德意志證券交易所(Deutsche B?rse)今天宣布,VanEck針對Polkadot(DOT)、Solana(SOL)和Tron(TRX)推出的新ETN產品現在可在其數字證券交易所Xetra和法蘭克福證券交易所(Frankfurt Stock Exchange)進行交易。據悉,德意志證交所此前已經支持比特幣(BTC)、以太坊(ETH)、比特幣現金(BCH)和萊特幣(LTC)等加密貨幣ETN產品。(Cointelegraph)[2021/9/21 23:40:45]
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
●OlaFinance相關合約:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻擊流程
我們以0xe800f55這一筆交易舉例:
1.黑客部署了一個攻擊合約0x632942c。
2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。
3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。
4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。
5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。
因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。
雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。
自此,黑客完成了利用一筆抵押進行的多次借款。
6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。
漏洞為何會被利用
該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。
這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。
寫在最后
該次事件可通過安全審計發現相關風險。
若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。
技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。
400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。
雖然在早期,Cardano生態因不支持智能合約,使其在DeFi等板塊上的發展,與其他公鏈的差距越來越大,但在2021年下半年,Cardano終于迎來了Alonzo升級.
1900/1/1 0:00:00前? 2022年2月8日,知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議superfluid遭遇黑客攻擊,損失超1300萬美元。實驗室第一時間跟蹤本次事件并分析.
1900/1/1 0:00:002022年4月12日,致力服務所有人的AAX加密貨幣交易所今天宣布其首個NFT快閃店即將開幕,主題為“TheEarlyDaysofCrypto–Apes.Pixels.Gods”.
1900/1/1 0:00:00BNBChain開發者社區致力于為智能合約開發者提供頂尖的開發基礎架構,幫助他們打造出成熟且安全的去中心化應用.
1900/1/1 0:00:00北京時間2022年4月2日19時,CertiK安全技術團隊監測到InverseFinance被惡意利用,導致價值約1450萬美元的資產受到損失.
1900/1/1 0:00:00敞口是金融領域的一個重要概念,表示在金融活動中存在金融風險的部分,以及金融活動受金融風險影響的程度。簡單理解就是,從事什么金融活動,對應就有什么敞口.
1900/1/1 0:00:00