木星链 木星链
Ctrl+D收藏木星链
首页 > FIL币 > 正文

SOL:Ola Finance攻击事件分析:400万美元丢了,你以为这是愚人节故事?

作者:

时间:1900/1/1 0:00:00

北京时间2022年3月31日上午10时左右,Fuse上的OlaFinance被恶意利用,导致约400万美元资产遭受损失。

漏洞交易

●其中一笔交易:

https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers

●所有相关交易均可在此查到:

https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions

Messari:2023年第一季度Solana流通市值环比上涨118.1%:4月24日消息,Messari发布Solana2023年第一季度报告,其中,Solana流通市值随大盘反弹,环比上涨118.1%,Solana收入(以SOL为单位)环比增长68.7%。BONK空投、NFT收藏和DePIN应用程序推动了第一季度的费用支付与交易活动。就DeFi而言,第一季度以美元计价的Solana TVL环比增长23.5%,以SOL计价的TVL下降40.7%,表明SOL价格上涨。在Marinade Finance、Lido、Jito和JPool的带动下,LSD环比增长显著。

在NFT方面,Solana上每日新增NFT总数从260万个环比增加到290万个,增幅为11.8%。同时,以美元计价的二级市场NFT销量增长了35.5%,以SOL计价的销售额增长了19.3%并达到历史新高。在第一季度,独立买家继续超过独立卖家,买家总数为889,000人,而卖家为887,000人。[2023/4/24 14:22:43]

相关合约及地址

Solana Labs将推出web3手机Saga,并设立1000万美元生态基金:金色财经报道,Solana Labs首席执行官Anatoly Yakovenko在纽约市的一次活动中宣布,其团队正在开发一款新Android手机Saga,该设备专注于Web3,将包含一个Web3 dapp商店、集成的“Solana Pay”以促进基于二维码的链上支付、一个移动钱包适配器和一个“seed vault”(用于存储私钥)。Anatoly Yakovenko表示,它的成本约为1000 美元,计划于2023年初开始交付。此外,Solana基金会承诺提供1000万美元,以激励开发人员利用其Solana Mobile Stack (SMS)构建应用程序。[2022/6/24 1:27:50]

0x371d7c9e4464576d45f11b27cf88578983d63d75

Solana Riptide Hackathon@East Asia暨Solana Grant-3正式开启:据官方消息,Solana Riptide Hackathon@East Asia暨Solana Grant-3正式开启。

本次Hackathon奖金池由Solana、Raydium和Serum赞助,总计10万美元。全球赛区将由Google、Visa、Jump Crypto、TSM、Mango Markets、MonkeDAO和三星主持,并由Solana Ventures等机构提供总计超500万美元奖项和种子投资。[2022/2/8 9:37:41]

●攻击合约:

○0x632942c9BeF1a1127353E1b99e817651e2390CFF

●OlaFinance相关合约:

○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611

○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729

攻击流程

0xe800f55这一笔交易举例:

1.黑客部署了一个攻击合约0x632942c。

2.黑客利用部署的攻击合约发起攻击,首先从0x97F4F45闪电贷到515WETH。

3.攻击合约将借到的515WETH存到Erc20Delegator(oWETH)合约,并铸造了25,528.022oWETH用于后续借贷。

4.由于攻击合约拥有了上述步骤中的25,528.022oWETH,即可从另一个Erc20Delegator(oWBTC)合约借得20WBTC。

5.因为WBTC代币合约是一种ERC677合约,在代币转移过程中会发起外部调用。

因为这笔转移发生在借款记录更新之前,而该借贷记录由多个Erc20Delegator合约共享,攻击合约利用外部调用在借款记录更新之前进入另一个Erc20Delegator合约,再次借用代币。

虽然Erc20Delegator合约的借款函数有防止重入的限制,但它只能防止外部调用重入自身合约,而它不能防止外部调用进入其它Erc20Delegator合约并通过共享的借款记录再次借款。

自此,黑客完成了利用一笔抵押进行的多次借款。

6.完成恶意借款之后,黑客于0x97F4F45偿还闪电贷借款。

漏洞为何会被利用

该项目基于Compound合约,Compound合约和ERC677/ERC777的代币之间的不兼容,使该黑客事件成为可能。

这些代币的内置回调函数被利用,允许重入以耗尽借贷池。

安全审计发现相关风险。

若该合约进行审计,我们将会注意到该Compound合约和有外部调用的代币的不兼容型,并提示可能存在的重入问题。

技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。

400万美元说没就没并不是愚人节恶作剧,但项目方如果不重视安全问题极有可能让黑客有机可乘,成为下一个“整蛊对象”。

标签:SOLOLALANASolanaNewSolution 2.0Voolacoinsolana币价格solana币

FIL币热门资讯
Gate.io HODL & Earn: Lock DOGA To Earn 100% APR(Phase 1)

TheDOGALock-up&Earn#1willlaunchat8:00UTConApr1atGate.io''s“HODL&Earn”.

1900/1/1 0:00:00
桥本有菜 1:1 餐券售出 12 万美元

从1月25日起,HUGHUGCOINPROJECT官方大使桥本有菜1:1餐券NFT拍卖会在HUGMA举行。拍卖会举行了大约一个月,餐票以120,000美元的价格售出.

1900/1/1 0:00:00
NFT:幣安NFT市場推出“迈克·泰森”盲盒系列

親愛的用戶:幣安NFT市場將於2022年04月05日19:00推出男子世界重量級拳王迈克·泰森在盲盒系列!該NFT盲盒系列展示了以迈克·泰森為主角的藝術品,以及獨家獎勵.

1900/1/1 0:00:00
BIT:关于Tbit全球市场稳步推进声明

尊敬的Tbit用户:Tbit官方在此声明,Tbit是一家来自美国并布局全球业务的衍生品交易平台;Tbit平台运营一切正常,用户持续稳定增长,平台将持续为广大用户提供更安全.

1900/1/1 0:00:00
AVA:AVAX首个运动元宇宙PARKOUR爆火出圈

2022年,元宇宙、NFT、GameFi可以说是区块链最具流量的板块,吸引了更多领域的资本跨域融合,游戏元宇宙、音乐元宇宙、动漫元宇宙等,随着耐克、李宁、NBA、球队的入局.

1900/1/1 0:00:00
BTC:每日行情解读 | BTC上攻受阻MA240,加密市场多空博弈激烈

目前,BTC上攻受阻于MA240等重要均线,昨日大户转移休眠BTC,在消息面上产生一定悲观影响;而另一方面,MacroStrategy以比特币为抵押完成2.05亿美元定期贷款,或购买更多比特币.

1900/1/1 0:00:00