比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > USDT > Info

SOL:Ola Finance攻擊事件分析:400萬美元丟了,你以為這是愚人節故事?-ODAILY

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。

漏洞交易

●其中一筆交易:

https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers

Algorand高管呼吁Helium放棄遷移至Solana的計劃:金色財經報道,兩位Algorand高管周一在推特上表示,他們有興趣將去中心化的無線網絡Helium帶到他們的區塊鏈上,而不是Solana。創始人Silvio Micali和首席技術官John Alan Wood在推特上稱,Helium“需要一個安全、強大和可擴展的鏈”。(CoinDesk)

此前消息,Helium宣布了一項從其專有區塊鏈轉移到智能合約平臺Solana的提議。[2022/9/13 13:25:25]

●所有相關交易均可在此查到:

數據:過去30日Solana上NFT市場Magic Eden交易量超406萬SOL:5月8日消息,過去30日,Solana上最大NFT市場Magic Eden交易量達到406.49萬SOL(按當前SOL價格計算約合3.2億美元),交易筆數近103萬,其中,NFT系列OkayBears自鑄幣結束10天內的交易量達到逾91萬SOL。另外,Solana上OpenSea上過去30日的交易量為11.86萬SOL,交易筆數為1.1萬筆。[2022/5/8 2:58:25]

https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions

邁克·泰森:要All in Solana:金色財經報道,前重量級拳王邁克·泰森在推特上表示要梭哈(All in)Solana,Solana是主要的“以太坊殺手”之一。他還附上了在 Solana 區塊鏈上發行的 Catalina Whale NFT。去年9月,泰森曾暗示可能在Solana或者以太坊上推出NFT。(U.Today)[2022/1/13 8:47:00]

相關合約及地址

●攻擊者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75

●攻擊合約:

Solana生態借貸協議Jet Protocol完成680萬美元融資,Paradigm等參投:11月9日消息,Solana生態借貸協議Jet Protocol完成680萬美元融資,Paradigm、Reciprocal Ventures、Solana Capital、GSR、Three Arrows Capital、Ascendex、SkyVision Capital、TPS Capital 參投,所籌資金將用于幫助將Jet的協議、治理和可擴展的產品理念引入現實世界。[2021/11/9 6:40:15]

○0x632942c9BeF1a1127353E1b99e817651e2390CFF

●OlaFinance相關合約:

○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611

○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729

攻擊流程

我們以0xe800f55這一筆交易舉例:

1.黑客部署了一個攻擊合約0x632942c。

2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。

3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。

4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。

5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。

因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。

雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。

自此,黑客完成了利用一筆抵押進行的多次借款。

6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。

漏洞為何會被利用

該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。

這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。

寫在最后

該次事件可通過安全審計發現相關風險。

若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。

技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。

400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。

Tags:SOLOLASolanaLANASOLA幣SOLAPEsolana幣下半年會漲到多少價格solana幣挖礦

USDT
EFI:一覽GameFi前世今生及項目核心-ODAILY

什么是GameFi 由于區塊鏈技術的興起,金融方面從未像現在這樣與游戲行業交織在一起。區塊鏈游戲也被稱為去中心化游戲,即GameFi——Game+DeFI.

1900/1/1 0:00:00
SOL:Orca for Everyone(一):從Solana開始-ODAILY

本文由英文版翻譯而來,英文原版點擊這里OrcaforEveryone是由Orca背后團隊提供的進入DeFi世界的指導書,Orca是Solana上最用戶友好的數字貨幣交易所.

1900/1/1 0:00:00
CIA:CZ都看好的2022年風口, SocialFi賽道現狀全覽-ODAILY

Grace@footprint.networkDataSource:FootprintAnalyticsSocialFiDashboard-Jan繼《一文快速了解SocialFi》介紹Socia.

1900/1/1 0:00:00
RED:Qredo的故事:從網絡到金庫-ODAILY

當我們正在準備明年推出完全去中心化的QredoV2時,首席執行官AnthonyFoy為大家回顧了Qredo的發展歷程;中文社區的各位伙伴,讓我們一起,回顧這段去中心化之路.

1900/1/1 0:00:00
NFT:APENFT Marketplace主網上線,孫宇晨帶你打開NFT新世界-ODAILY

4月15日晚8時,APENFTMarketplace全球線上發布會準時開幕。波場TRON創始人孫宇晨先生作為嘉賓分享了對于剛剛主網上線的APENFTMarketplace的一些看法,以及他將“猴.

1900/1/1 0:00:00
DOT:XCM開啟后波卡生態會有怎樣的變化,并將如何反哺波卡?-ODAILY

Polkadot生態研究院出品,必屬精品 背景 在國內“五四青年節”的當天,波卡順利完成了v0.9.19版本的升級,而此次升級備受關注的當屬完成了通過XCM進行平行鏈間消息傳遞的功能.

1900/1/1 0:00:00
ads