BTC/HKD-0.32%
ETH/HKD-0.54%
LTC/HKD-1.39%
DOT/HKD-0.08%
ADA/HKD+1.45%
SOL/HKD-0.46%
XRP/HKD-0.32%
DOGE/US-0.39% 
北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。
漏洞交易
●其中一筆交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
Solana發布網絡重啟說明:10月1日消息,Solana 發布網絡重啟說明:請主網Beta驗證者按照重啟說明進行操作,已確認的最高區塊高度為solt 153139220。同時請勿刪除分類賬目錄,無論驗證者安裝的是1.10.39版本或是1.13.1版本,請停留在當前版本。
據Solana主網狀態頁面顯示,該網絡目前仍處于中斷狀態。[2022/10/1 22:43:30]
●所有相關交易均可在此查到:
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
Messari:Solana基本指標在非EVM鏈中仍優于其他競爭對手:金色財經報道,據區塊鏈研究公司Messari最新非EVM區塊鏈報告顯示,Solana 在最基本的指標上均優于其競爭對手,對于 Cardano、Algorand 和 Tezos 來說,開發活動仍然是關鍵,不過Algorand鏈上鎖倉量在本輪熊市中依然增長,另外市場對Cardano即將到來的分叉升級也較為期待。[2022/8/8 12:08:36]
相關合約及地址
●攻擊者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75
NFT平臺Holaplex完成600萬美元種子輪融資:金色財經報道,基于Solana的的鏈上協議Metaplex的一站式NFT平臺Holaplex宣布完成600萬美元的種子輪融資,CoinFund領投,Social Capital、Valor、Collab+Currency、Blockchain Coinvestors、Solana Capital等參投。據悉,Holaplex旨在為獨立藝術家、音樂家和創作者提供簡單、免費的工具來制作和銷售NFT,同時為NFT買家和收藏家提供超過2000家商店,以發現有潛力的項目和新興的藝術家。Holaplex還利用并貢獻了NFT協議Metaplex,后者在Solana區塊鏈上提供快速、低成本的NFT創建功能。[2021/12/7 12:57:14]
●攻擊合約:
Solana 生態 NFT 社交平臺 Only1 開啟 The Ones NFT 鑄造:10月18日消息,Solana 生態 NFT 社交平臺 Only1 (LIKE)宣布其首次 NFT 發行(Only1 Initial NFT Offering,INO)已開始,The Ones NFT 是帶有其平臺治理和質押獎勵功能的徽章,鑄造 NFT 籌集的 1 萬枚 SOL 用來從市場中回購 LIKE,回購的 LIKE 將加入創作者權益池,增加權益人的獎勵。另外,The Ones NFT 鑄造的版稅將用于購買和銷毀 1000 個 The Ones NFT。[2021/10/18 20:36:39]
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
●OlaFinance相關合約:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻擊流程
我們以0xe800f55這一筆交易舉例:
1.黑客部署了一個攻擊合約0x632942c。
2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。
3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。
4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。
5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。
因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。
雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。
自此,黑客完成了利用一筆抵押進行的多次借款。
6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。
漏洞為何會被利用
該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。
這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。
寫在最后
該次事件可通過安全審計發現相關風險。
若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。
技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。
400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。
Tags:OLANFTSOLLANAInverse Bitcoin Volatility Index TokenNFTD幣ADAB Solutionssolana幣今日走勢圖
Polkadot生態研究院出品,必屬精品 背景 時間又來到了新年的伊始,過去的2021給我們留下了深刻的印象,新冠疫情依舊在全球范圍內蔓延.
1900/1/1 0:00:00“Web3”和“網絡效應”這兩個詞現在變得比“機器學習”或“人工智能”更經常被濫用。這些術語被緊跟熱點的推特大V拿去亂用,令人感到窒息和頭疼,久而久之,這兩個術語竟成為流行語,但關于其運行的本質.
1900/1/1 0:00:00穩定幣正在成為加密行業的焦點,而去中心化穩定幣則有望奪過這一賽道的權杖,改寫穩定幣生態多年來嚴重依賴中心化系統的歷史.
1900/1/1 0:00:00本文來自PythNetwork,由Odaily星球日報譯者Katie辜編譯。 目前,已有八家區塊鏈基礎設施公司增加了對PythNetwork的支持,其中包括新加入的Syndica,還有Evers.
1900/1/1 0:00:00Qredo令對沖基金、銀行和企業能夠通過機構級安全性和精細治理,來克服數字資產的運營挑戰和業務風險。同樣的工具可以也為任何人群配置——從家人和朋友,到自由職業者和投資俱樂部.
1900/1/1 0:00:00也許你已經知道WMT上線CardanoDex的消息。為防止你在我們的Telegram頻道看到“WENDEX”時滿頭問號,今天我們來講講“DEX”.
1900/1/1 0:00:00
比特幣交易所
