北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。
漏洞交易
●其中一筆交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
Algorand高管呼吁Helium放棄遷移至Solana的計劃:金色財經報道,兩位Algorand高管周一在推特上表示,他們有興趣將去中心化的無線網絡Helium帶到他們的區塊鏈上,而不是Solana。創始人Silvio Micali和首席技術官John Alan Wood在推特上稱,Helium“需要一個安全、強大和可擴展的鏈”。(CoinDesk)
此前消息,Helium宣布了一項從其專有區塊鏈轉移到智能合約平臺Solana的提議。[2022/9/13 13:25:25]
●所有相關交易均可在此查到:
數據:過去30日Solana上NFT市場Magic Eden交易量超406萬SOL:5月8日消息,過去30日,Solana上最大NFT市場Magic Eden交易量達到406.49萬SOL(按當前SOL價格計算約合3.2億美元),交易筆數近103萬,其中,NFT系列OkayBears自鑄幣結束10天內的交易量達到逾91萬SOL。另外,Solana上OpenSea上過去30日的交易量為11.86萬SOL,交易筆數為1.1萬筆。[2022/5/8 2:58:25]
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
邁克·泰森:要All in Solana:金色財經報道,前重量級拳王邁克·泰森在推特上表示要梭哈(All in)Solana,Solana是主要的“以太坊殺手”之一。他還附上了在 Solana 區塊鏈上發行的 Catalina Whale NFT。去年9月,泰森曾暗示可能在Solana或者以太坊上推出NFT。(U.Today)[2022/1/13 8:47:00]
相關合約及地址
●攻擊者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75
●攻擊合約:
Solana生態借貸協議Jet Protocol完成680萬美元融資,Paradigm等參投:11月9日消息,Solana生態借貸協議Jet Protocol完成680萬美元融資,Paradigm、Reciprocal Ventures、Solana Capital、GSR、Three Arrows Capital、Ascendex、SkyVision Capital、TPS Capital 參投,所籌資金將用于幫助將Jet的協議、治理和可擴展的產品理念引入現實世界。[2021/11/9 6:40:15]
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
●OlaFinance相關合約:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻擊流程
我們以0xe800f55這一筆交易舉例:
1.黑客部署了一個攻擊合約0x632942c。
2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。
3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。
4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。
5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。
因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。
雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。
自此,黑客完成了利用一筆抵押進行的多次借款。
6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。
漏洞為何會被利用
該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。
這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。
寫在最后
該次事件可通過安全審計發現相關風險。
若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。
技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。
400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。
什么是GameFi 由于區塊鏈技術的興起,金融方面從未像現在這樣與游戲行業交織在一起。區塊鏈游戲也被稱為去中心化游戲,即GameFi——Game+DeFI.
1900/1/1 0:00:00本文由英文版翻譯而來,英文原版點擊這里OrcaforEveryone是由Orca背后團隊提供的進入DeFi世界的指導書,Orca是Solana上最用戶友好的數字貨幣交易所.
1900/1/1 0:00:00Grace@footprint.networkDataSource:FootprintAnalyticsSocialFiDashboard-Jan繼《一文快速了解SocialFi》介紹Socia.
1900/1/1 0:00:00當我們正在準備明年推出完全去中心化的QredoV2時,首席執行官AnthonyFoy為大家回顧了Qredo的發展歷程;中文社區的各位伙伴,讓我們一起,回顧這段去中心化之路.
1900/1/1 0:00:004月15日晚8時,APENFTMarketplace全球線上發布會準時開幕。波場TRON創始人孫宇晨先生作為嘉賓分享了對于剛剛主網上線的APENFTMarketplace的一些看法,以及他將“猴.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品 背景 在國內“五四青年節”的當天,波卡順利完成了v0.9.19版本的升級,而此次升級備受關注的當屬完成了通過XCM進行平行鏈間消息傳遞的功能.
1900/1/1 0:00:00