比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

Ola Finance攻擊事件分析:400萬美元丟了,你以為這是愚人節故事?-ODAILY_NFT

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。

漏洞交易

●其中一筆交易:

https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers

Solana發布網絡重啟說明:10月1日消息,Solana 發布網絡重啟說明:請主網Beta驗證者按照重啟說明進行操作,已確認的最高區塊高度為solt 153139220。同時請勿刪除分類賬目錄,無論驗證者安裝的是1.10.39版本或是1.13.1版本,請停留在當前版本。

據Solana主網狀態頁面顯示,該網絡目前仍處于中斷狀態。[2022/10/1 22:43:30]

●所有相關交易均可在此查到:

https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions

Messari:Solana基本指標在非EVM鏈中仍優于其他競爭對手:金色財經報道,據區塊鏈研究公司Messari最新非EVM區塊鏈報告顯示,Solana 在最基本的指標上均優于其競爭對手,對于 Cardano、Algorand 和 Tezos 來說,開發活動仍然是關鍵,不過Algorand鏈上鎖倉量在本輪熊市中依然增長,另外市場對Cardano即將到來的分叉升級也較為期待。[2022/8/8 12:08:36]

相關合約及地址

●攻擊者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75

NFT平臺Holaplex完成600萬美元種子輪融資:金色財經報道,基于Solana的的鏈上協議Metaplex的一站式NFT平臺Holaplex宣布完成600萬美元的種子輪融資,CoinFund領投,Social Capital、Valor、Collab+Currency、Blockchain Coinvestors、Solana Capital等參投。據悉,Holaplex旨在為獨立藝術家、音樂家和創作者提供簡單、免費的工具來制作和銷售NFT,同時為NFT買家和收藏家提供超過2000家商店,以發現有潛力的項目和新興的藝術家。Holaplex還利用并貢獻了NFT協議Metaplex,后者在Solana區塊鏈上提供快速、低成本的NFT創建功能。[2021/12/7 12:57:14]

●攻擊合約:

Solana 生態 NFT 社交平臺 Only1 開啟 The Ones NFT 鑄造:10月18日消息,Solana 生態 NFT 社交平臺 Only1 (LIKE)宣布其首次 NFT 發行(Only1 Initial NFT Offering,INO)已開始,The Ones NFT 是帶有其平臺治理和質押獎勵功能的徽章,鑄造 NFT 籌集的 1 萬枚 SOL 用來從市場中回購 LIKE,回購的 LIKE 將加入創作者權益池,增加權益人的獎勵。另外,The Ones NFT 鑄造的版稅將用于購買和銷毀 1000 個 The Ones NFT。[2021/10/18 20:36:39]

○0x632942c9BeF1a1127353E1b99e817651e2390CFF

●OlaFinance相關合約:

○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611

○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729

攻擊流程

我們以0xe800f55這一筆交易舉例:

1.黑客部署了一個攻擊合約0x632942c。

2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。

3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。

4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。

5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。

因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。

雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。

自此,黑客完成了利用一筆抵押進行的多次借款。

6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。

漏洞為何會被利用

該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。

這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。

寫在最后

該次事件可通過安全審計發現相關風險。

若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。

技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。

400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。

Tags:OLANFTSOLLANAInverse Bitcoin Volatility Index TokenNFTD幣ADAB Solutionssolana幣今日走勢圖

SHIB最新價格
2021波卡生態發展年度總結-ODAILY_AMA

Polkadot生態研究院出品,必屬精品 背景 時間又來到了新年的伊始,過去的2021給我們留下了深刻的印象,新冠疫情依舊在全球范圍內蔓延.

1900/1/1 0:00:00
DAOrayaki:Web3網絡效應分析框架-ODAILY_WEB

“Web3”和“網絡效應”這兩個詞現在變得比“機器學習”或“人工智能”更經常被濫用。這些術語被緊跟熱點的推特大V拿去亂用,令人感到窒息和頭疼,久而久之,這兩個術語竟成為流行語,但關于其運行的本質.

1900/1/1 0:00:00
左手波聯儲、右手USDD,孫宇晨欲帶穩定幣走向去中心化時代?-ODAILY_穩定幣

穩定幣正在成為加密行業的焦點,而去中心化穩定幣則有望奪過這一賽道的權杖,改寫穩定幣生態多年來嚴重依賴中心化系統的歷史.

1900/1/1 0:00:00
一文了解Pyth Network基礎設施提供商-ODAILY_區塊鏈

本文來自PythNetwork,由Odaily星球日報譯者Katie辜編譯。 目前,已有八家區塊鏈基礎設施公司增加了對PythNetwork的支持,其中包括新加入的Syndica,還有Evers.

1900/1/1 0:00:00
Qredo治理讓多方在管理數字資產時受益-ODAILY_數字資產

Qredo令對沖基金、銀行和企業能夠通過機構級安全性和精細治理,來克服數字資產的運營挑戰和業務風險。同樣的工具可以也為任何人群配置——從家人和朋友,到自由職業者和投資俱樂部.

1900/1/1 0:00:00
談談DEX:深入研究去中心化的交易所-ODAILY_CARD

也許你已經知道WMT上線CardanoDex的消息。為防止你在我們的Telegram頻道看到“WENDEX”時滿頭問號,今天我們來講講“DEX”.

1900/1/1 0:00:00
ads