北京时间2022年3月31日上午10时左右,Fuse上的OlaFinance被恶意利用,导致约400万美元资产遭受损失。
漏洞交易
●其中一笔交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
Solana生态钱包Solflare带来高Gas Fees\"优先\"服务:金色财经报道,Solana生态钱包Solflare周一宣布其用户现在可以支付更高的Gas Fees来克服网络拥堵。Solrise Finance联合创始人Vidor Gencel在推特上表示,钱包内的交易将自动以当前市场价格的费用为优先,确保你的交易比其他钱包内的交易更快列入。[2023/1/18 11:17:33]
●所有相关交易均可在此查到:
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
Solana链上24小时清算超96%,剩余可清算额为230万美元:11月9日消息,据DefiLlama数据显示,Solana链上24小时可清算价值变化跌幅达96.2%,当前剩余可清算额为230万美元。
此外,Solend上SOL分别于11.232、9.36、8.944、5.824美元处面临36.6万美元、31.7万美元、36.91万美元、29.53万美元的链上清算。[2022/11/9 12:37:41]
相关合约及地址
●攻击者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75
Solana钱包Slope Finance完成800万美元A轮融资,Solana Ventures领投:2月24日消息,Solana钱包Slope Finance完成800万美元A轮融资,Solana Ventures和Jump Crypto领投,Sequoia China(红杉中国)、Genesis Trading、VMS、Spark Digital、Circle Ventures、Huobi等参投。融资用于扩大在美国的团队,Slope上个月在美国开设了第一个办事处。(CoinDesk)[2022/2/24 10:12:07]
●攻击合约:
Fantom链上总锁仓量突破100亿美元,超越Solana:1月13日消息,据Defi Llama数据显示,当前Fantom链上总锁仓量达105.9亿美元,排名超越Solana(TVL104亿美元),暂列第五位。[2022/1/13 8:47:13]
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
●OlaFinance相关合约:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻击流程
我们以0xe800f55这一笔交易举例:
1.黑客部署了一个攻击合约0x632942c。
2.黑客利用部署的攻击合约发起攻击,首先从0x97F4F45闪电贷到515WETH。
3.攻击合约将借到的515WETH存到Erc20Delegator(oWETH)合约,并铸造了25,528.022oWETH用于后续借贷。
4.由于攻击合约拥有了上述步骤中的25,528.022oWETH,即可从另一个Erc20Delegator(oWBTC)合约借得20WBTC。
5.因为WBTC代币合约是一种ERC677合约,在代币转移过程中会发起外部调用。
因为这笔转移发生在借款记录更新之前,而该借贷记录由多个Erc20Delegator合约共享,攻击合约利用外部调用在借款记录更新之前进入另一个Erc20Delegator合约,再次借用代币。
虽然Erc20Delegator合约的借款函数有防止重入的限制,但它只能防止外部调用重入自身合约,而它不能防止外部调用进入其它Erc20Delegator合约并通过共享的借款记录再次借款。
自此,黑客完成了利用一笔抵押进行的多次借款。
6.完成恶意借款之后,黑客于0x97F4F45偿还闪电贷借款。
漏洞为何会被利用
该项目基于Compound合约,Compound合约和ERC677/ERC777的代币之间的不兼容,使该黑客事件成为可能。
这些代币的内置回调函数被利用,允许重入以耗尽借贷池。
写在最后
该次事件可通过安全审计发现相关风险。
若该合约进行审计,我们将会注意到该Compound合约和有外部调用的代币的不兼容型,并提示可能存在的重入问题。
技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
400万美元说没就没并不是愚人节恶作剧,但项目方如果不重视安全问题极有可能让黑客有机可乘,成为下一个“整蛊对象”。
标签:SOLOLASOLALANAsolana币今日价格HOLA价格FRZ Solar System Coinsolana币怎么挖矿
“Crema正在接管Solana的流动性空间。”加密KOLCryptoMonarch如此说道,作为仅正式上线2个月的流动性协议,Crema在4月份成为了Solana生态中TVL增速最快的DeFi.
1900/1/1 0:00:00Solidity事件对于智能合约开发者来说是不可或缺的,它允许我们对智能合约中特定变量进行测试,以自动化的方式改变前端等.
1900/1/1 0:00:00近日,艾贝链动与边界智能建立战略级合作伙伴关系。通过发挥各自在区块链领域的产品技术能力与生态优势,共同为全球范围内持牌合规数字金融机构提供更安全可信的数字金融基础设施;同时,在元宇宙发展的大趋势.
1900/1/1 0:00:00前言通信技术让世界具备了更多的连接,我们每个人都在这样的连接中被影响和受益着。同时这种连接也产生了更多对于监视需求的便利.
1900/1/1 0:00:00愿景:去中心化私钥Qredo的设计理念植根于认识到困扰加密市场的两个最重要的问题——安全性差和流动性分散——源于一个怪癖:私钥的集中管理。这使得机构难以进入生态系统,并启用了广泛的黑客目录.
1900/1/1 0:00:00波卡先锋奖宣布为MantaNetwork在零知识证明开发竞赛ZPrize中设立的竞赛单元提供75万美元赞助,以助力推进零知识证明技术的发展.
1900/1/1 0:00:00
木星链