BTC/HKD-0.51%
ETH/HKD-0.57%
LTC/HKD-0.74%
DOT/HKD-0.49%
ADA/HKD-1.69%
SOL/HKD+0.9%
XRP/HKD-5.62%
DOGE/US+1.96% 
北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。
漏洞交易
●其中一筆交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
數據:Solana TVL跌至10.4億美元:金色財經報道,據DefiLlama數據顯示,Solana TVL(Total Value Locked)跌至10.4億美元,24小時跌幅為19.9%。
此前消息,Solana生態DeFi平臺Mango遭遇黑客攻擊,損失超1億美元。[2022/10/12 10:31:51]
●所有相關交易均可在此查到:
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
跨鏈聚合協議iSwap正式上線Solana主網:近日,iSwap新增了Solana主網,這是繼火幣生態鏈、以太坊、幣安智能鏈、OEC、Arbitrum、Fantom、Polygon和Avalanche之后,iSwap新增的又一公鏈網絡。
此次升級支持Solana主網跨鏈交易,為用戶提供更加豐富更加靈活的交易選擇,用戶可在iSwap體驗3秒跨鏈交易,提高鏈上資產流動性。[2022/3/15 13:57:49]
相關合約及地址
●攻擊者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75
數據:Solana游戲Mini Royale在激活NFT后,注冊玩家已超200萬:12月20日消息,基于Solana的在線射擊游戲Mini Royale: Nations在游戲內啟動NFT后,其累計注冊玩家已超過200萬,月活躍用戶(MAU)超過60萬。據悉,該游戲背后工作室Faraway在12月9日推出了一系列作為Solana NFT出售的游戲內物品,并于12月16日在游戲內激活。
Faraway在今年早些時候完成800多萬美元種子輪融資,Lightspeed Venture Partners領投,a16z、紅杉資本、PanteraCapital、JumpCapital和Solana等參投。(Decrypt )[2021/12/20 7:51:54]
●攻擊合約:
Solana基金會:Solana主網Beta版擁有896個質押驗證者:Solana基金會發推稱,“在像Solana這樣的PoS網絡中,最大化網絡上高質量驗證者的總數以及這些節點的權益分配非常重要。這就是我們創建Solana基金會委托計劃的原因。委托計劃通過戰略性地將SOL委托給滿足特定性能和去中心化標準的現有以及新驗證者,促進Solana網絡的發展和安全。自2021年6月以來,320多個驗證者節點上線,反映出人們對Solana生態系統各個層面的興趣激增。如今Solana主網Beta版擁有896個質押驗證者,這些驗證者位于28個國家的150個數據中心,擁有92個獨立ASN。權益和實體基礎設施的廣泛分布有助于保持Solana網絡的安全性和抵御攻擊或故障的能力,確保每個人都可以隨時訪問該網絡。”[2021/8/28 22:42:42]
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
●OlaFinance相關合約:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻擊流程
我們以0xe800f55這一筆交易舉例:
1.黑客部署了一個攻擊合約0x632942c。
2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。
3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。
4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。
5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。
因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。
雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。
自此,黑客完成了利用一筆抵押進行的多次借款。
6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。
漏洞為何會被利用
該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。
這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。
寫在最后
該次事件可通過安全審計發現相關風險。
若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。
技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。
400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。
Tags:OLASOLSolanaLANAPolarissol幣會是下一個以太坊嗎solana幣最新消息solana幣今日價格
相關文章: Rust智能合約養成日記合約狀態數據定義與方法實現Rust智能合約養成日記編寫Rust智能合約單元測試Rust智能合約養成日記Rust智能合約部署.
1900/1/1 0:00:00北京時間2022年4月28日10:40:14,CertiK審計團隊監測到DEUSFinance的合約被惡意攻擊,造成了約1570萬美元的損失.
1900/1/1 0:00:00區塊鏈生態已經從單純的鏈上通證發展成了一系列高級的去中心化應用,而這些應用的底層技術就是混合型智能合約.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.
1900/1/1 0:00:002022年2月11日至2月20日,為期10天的ETHDenver會議在美國丹佛市順利落幕。這是目前規模最大、持續時間最長的ETH活動.
1900/1/1 0:00:00北京時間4月8日凌晨01:43:36,CertiK安全技術團隊監測到收益聚合平臺Starstream因其合約中的一個執行函數漏洞被惡意利用,致使約1500萬美元的資產受到損失.
1900/1/1 0:00:00
加密貨幣交易所
