比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 非小號 > Info

OLA:Ola Finance攻擊事件分析:400萬美元丟了,你以為這是愚人節故事?-ODAILY_SSOL

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。

漏洞交易

●其中一筆交易:

https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers

Solana主網Beta Explorer和Solana基金會公共RPC端點因RPC節點軟件升級離線:1月8日消息,Solana Status發推稱,由于RPC節點軟件升級的測試版1.14中出現一個漏洞,主網Beta Explorer和Solana基金會公共RPC端點目前處于離線狀態。

Solana Status表示,出塊沒有受到影響,Solana網絡也未受到影響。該漏洞影響采用測試版本的其他節點。如果在測試版本中操作節點,請切換到1.13版本。[2023/1/8 11:01:17]

●所有相關交易均可在此查到:

Solana鏈上消息通知平臺Dialect宣布擴展至Aptos:8月31日消息,基于Solana的Web3智能消息平臺Dialect宣布,將支持Aptos生態系統,并將繼續支持Solana開發人員的所有需求。[2022/8/31 12:59:44]

https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions

相關合約及地址

●攻擊者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75

NFT鑄造平臺Metaplex:Solana主網宕機部分由于其Candy Machine程序爬蟲,將推出懲罰機制:5月1日消息,基于Solana的NFT鑄造平臺Metaplex發推表示,今日Solana主網宕機部分由于Candy Machine程序的爬蟲。為了進一步穩定網絡,該項目將很快對該程序部署一個機器人懲罰程序,當錢包嘗試完成無效交易時,將收取 0.01 SOL 罰款。收集到的懲罰資金將提供給 Candy Machine 實例的配置帳戶,然后,Candy Machine創建者將自行決定如何使用從這些罰款中收取的資金。

據了解,Metaplex 為藝術家和創作者提供了在Solana上啟動 NFT 應用程序的工具,此前曾完成4600萬美元融資,Multicoin Capital和Jump Crypto領投。[2022/5/1 2:43:38]

●攻擊合約:

VanEck推出的Polkadot、Solana和TRON ETN在德意志證券交易所上線:9月21日消息,德意志證券交易所(Deutsche B?rse)今天宣布,VanEck針對Polkadot(DOT)、Solana(SOL)和Tron(TRX)推出的新ETN產品現在可在其數字證券交易所Xetra和法蘭克福證券交易所(Frankfurt Stock Exchange)進行交易。據悉,德意志證交所此前已經支持比特幣(BTC)、以太坊(ETH)、比特幣現金(BCH)和萊特幣(LTC)等加密貨幣ETN產品。(Cointelegraph)[2021/9/21 23:40:45]

○0x632942c9BeF1a1127353E1b99e817651e2390CFF

●OlaFinance相關合約:

○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611

○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729

攻擊流程

我們以0xe800f55這一筆交易舉例:

1.黑客部署了一個攻擊合約0x632942c。

2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。

3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。

4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。

5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。

因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。

雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。

自此,黑客完成了利用一筆抵押進行的多次借款。

6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。

漏洞為何會被利用

該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。

這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。

寫在最后

該次事件可通過安全審計發現相關風險。

若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。

技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。

400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。

Tags:OLASOLSOLASolanasolanium幣前景SSOLsolana幣官網solana幣價格

非小號
CAR:Cardano先行者主題會議即將開啟,World Mobile等優質項目齊聚一堂-ODAILY_DAN

雖然在早期,Cardano生態因不支持智能合約,使其在DeFi等板塊上的發展,與其他公鏈的差距越來越大,但在2021年下半年,Cardano終于迎來了Alonzo升級.

1900/1/1 0:00:00
Superfluid_HQ被黑分析-ODAILY

前? 2022年2月8日,知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議superfluid遭遇黑客攻擊,損失超1300萬美元。實驗室第一時間跟蹤本次事件并分析.

1900/1/1 0:00:00
加密貨幣:AAX將于香港K11購物藝術館推出其首個NFT快閃店-ODAILY_REN

2022年4月12日,致力服務所有人的AAX加密貨幣交易所今天宣布其首個NFT快閃店即將開幕,主題為“TheEarlyDaysofCrypto–Apes.Pixels.Gods”.

1900/1/1 0:00:00
HAI:Chainlink VRF v2在BNB Chain上正式發布-ODAILY_AIN

BNBChain開發者社區致力于為智能合約開發者提供頂尖的開發基礎架構,幫助他們打造出成熟且安全的去中心化應用.

1900/1/1 0:00:00
INV:Inverse Finance被盜1450萬美元事件分析-ODAILY_South African Tether

北京時間2022年4月2日19時,CertiK安全技術團隊監測到InverseFinance被惡意利用,導致價值約1450萬美元的資產受到損失.

1900/1/1 0:00:00
比特幣:頂峰課堂:經濟術語「敞口」-ODAILY_MOBTC價格

敞口是金融領域的一個重要概念,表示在金融活動中存在金融風險的部分,以及金融活動受金融風險影響的程度。簡單理解就是,從事什么金融活動,對應就有什么敞口.

1900/1/1 0:00:00
ads