北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。
漏洞交易
●其中一筆交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
●所有相關交易均可在此查到:
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
報告:Solana網絡5個月內未出現故障:金色財經報道,Solana 基金會發布的一份新報告表示,Solana 網絡在過去五個月中沒有發生任何中斷,并且自 2 月份以來一直保持 100% 的正常運行時間。網絡性能的增強標志著與去年相比發生了顯著變化,當時第一層網絡中斷造成了嚴重的中斷。后續的升級,包括 QUIC TPU、Stake 加權 QoS 和本地化費用市場的推出,幫助網絡處理高流量和需求。此外,Solana 基金會表示,預計“投票交易與無投票交易的比例將會下降,因為隨著網絡變得更加高效,投票交易的總體百分比應該會下降。[2023/7/22 15:51:46]
相關合約及地址
Solana 生態借貸協議 Jet Protocol 完成 480 萬美元種子輪融資:據官方消息,Solana 生態借貸協議 Jet Protocol 完成 480 萬美元種子輪融資,投資方包括 MGNR、Sino Global Capital、CMS Holdings、Alameda Research、ParaFi Capital、Robot Ventures、Defiance Capital、Kenetic Capital、Stablenode。本輪融資將用于提供流動性、社區建設以及治理等方面。[2021/6/11 23:29:34]
0x371d7c9e4464576d45f11b27cf88578983d63d75
動態 | 使用Golang的客戶開采了BCH 558847高度的區塊:據news.bitcoin消息,一個未知的挖掘池處理了第一個BCH區塊,該塊是使用以Satoshi原始C ++客戶端以外的語言編寫的完整節點客戶端生成的。該項目名為Copernicus,是一個用Golang(GO)編寫的BCH實現,并遵循今年早些時候發布的Go客戶端。 Bchd和Gocoin.cash程序之間的區別在于Copernicus軟件用于在主網上挖掘BCH塊。在2018年12月1日00:32:40(北京時間),使用Golang客戶的預發布,開采BCH區塊558847,難度值為689.49 G / 274.81 G.[2018/12/3]
●攻擊合約:
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
●OlaFinance相關合約:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻擊流程
0xe800f55這一筆交易舉例:
1.黑客部署了一個攻擊合約0x632942c。
2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。
3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。
4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。
5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。
因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。
雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。
自此,黑客完成了利用一筆抵押進行的多次借款。
6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。
漏洞為何會被利用
該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。
這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。
安全審計發現相關風險。
若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。
技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。
400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。
2022年初,威尼斯雙年展委員向22位來自世界各地的加密藝術家發出了參展邀請,正式確認他們參加由第59屆威尼斯雙年展喀麥隆國家館主辦.
1900/1/1 0:00:00親愛的用戶: 幣安Staking平臺將於2022年04月01日20:00上線多重BSW高收益鎖倉活動,多重收益,任您選擇!活動一:30、60、90天週期任您選.
1900/1/1 0:00:00原文作者:RahulMaganti,JumpCrypto合伙人原文標題:《AFrameworkforAnalyzingL1s》 原文編譯:胡韜.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線CELT,並開啟CELT/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年3月30日18:00; CELT 項目簡介:Celestial是.
1900/1/1 0:00:00本文來自Dapprader,原文作者:IanKanaOdaily星球日報譯者|Moni如今,玩賺類游戲開始結合DeFi和NFT的優勢,利用金融機制和游戲體系來賦予用戶權力.
1900/1/1 0:00:00尊敬的中幣用戶: ????VortexProtocol充值投票上線活動已經結束,感謝廣大社區用戶參與!????經社區充值投票,VortexProtocol符合上線條件.
1900/1/1 0:00:00