比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 幣贏 > Info

OLA:Ola Finance攻擊事件分析:400萬美元丟了,你以為這是愚人節故事?

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。

漏洞交易

●其中一筆交易:

https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers

●所有相關交易均可在此查到:

https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions

Volatility Shares計劃推出以太坊期貨ETF:金色財經報道,Volatility Shares計劃推出一款以太坊期貨ETF產品,擬議的以太坊策略ETF將投資于在芝加哥商品交易所(CME)交易的以現金結算的以太期貨合約,不會直接投資以太坊(ETH)。 此前,Grayscale Investments、Bitwise 等公司在SEC要求后放棄了5月份推出以太坊期貨ETF的計劃。行業參與者將對以太坊期貨流動性水平的擔憂以及以太坊是證券還是商品的不確定性視為潛在原因。

上個月, Volatility Shares推出了其 2x 比特幣策略 ETF(BITX),這是美國首個杠桿比特幣期貨ETF。[2023/8/1 16:10:16]

相關合約及地址

Crust Network集成Solana,提供兼容IPFS的去中心化存儲解決方案:12月2日,Web3.0去中心化存儲網絡Crust Network宣布集成Solana,為Solana生態系統提供無縫兼容IPFS的去中心化存儲解決方案。Crust的Web 3 Authenticated IPFS網關和固定服務現已支持Solana用戶使用。據悉,Crust Network現擁有至少7000多個IPFS節點和大約2000PB的可用存儲容量。[2021/12/2 12:46:37]

0x371d7c9e4464576d45f11b27cf88578983d63d75

Solana將于3月17日于Coinlist進行代幣拍賣:Web級區塊鏈項目Solana將于2020年3月17日開始上線Coinlist,進行代幣預拍賣,本次拍賣將拍出800萬枚SOL代幣。[2020/3/11]

●攻擊合約:

○0x632942c9BeF1a1127353E1b99e817651e2390CFF

●OlaFinance相關合約:

○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611

○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729

攻擊流程

0xe800f55這一筆交易舉例:

1.黑客部署了一個攻擊合約0x632942c。

2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。

3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。

4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。

5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。

因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。

雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。

自此,黑客完成了利用一筆抵押進行的多次借款。

6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。

漏洞為何會被利用

該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。

這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。

安全審計發現相關風險。

若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。

技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。

400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。

Tags:OLAETH以太坊SOLpolarchain有人讓我弄ETH是騙子嗎以太坊最新價格分析sol幣為什么大幅下跌

幣贏
LAYER:手把手教你如何從以太坊橋接到Layer 2

本文來自decrypt,原文作者:RobertStevensOdaily星球日報譯者|MoniLayer2技術優勢無需贅述,但如何把Layer2橋接到像以太坊這樣的Layer1網絡.

1900/1/1 0:00:00
okex:歐易關于完成NU置換并上線T的公告

尊敬的歐易用戶: 根據NU官方計劃,NU將按照1:?3.26的比例置換為T。歐易已經為平臺NU持有用戶按照1:3.26的比例轉換為T代幣.

1900/1/1 0:00:00
PLA:PlatoFarm空投社區的邏輯,效仿無聊猿還是Dao理念

2021年下半年,被譽為“NFT界的比特幣”的加密朋克系列的地板價已經突破了100個以太坊。并且在第二波NFT炒作高峰期間,價格一度超過經典品牌加密朋克,成為一顆冉冉升起的新星.

1900/1/1 0:00:00
THE:Tether:利刃出鞘的金融自由寶劍

本文來自Tether,由Odaily星球日報譯者Katie辜編譯。技術是變革最有力的力量之一。它塑造了我們的個人生活和溝通方式,改變了各國的發展方向以及各國保護自己的方式,甚至塑造了我們的文化以.

1900/1/1 0:00:00
Gate.io Community Invitation Contest: Invite Friends to Share $2000 Valued GMT3L Airdrop!

SincethelaunchofGate.ioofficialleveragedtokencommunityontelegram.

1900/1/1 0:00:00
WEB:Web3.0 時代下的信息安全

原文作者:JackieSingh 原文編譯:白澤研究院 JackieSingh是非營利性技術監督項目的主管,也是Web3.0社區的活躍成員.

1900/1/1 0:00:00
ads