北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。
漏洞交易
●其中一筆交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
●所有相關交易均可在此查到:
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
Tether:Solana上USDT無固有風險,部分交易所暫停存款或只因FTX、Alameda和Solana間的緊密聯系:11月18日消息,穩定幣USDT發行商Tether發文表示,盡管Alameda是USDT的較大發行者之一,但Alameda的失敗不代表會對Tether構成風險。Alameda發行USDT的意思是,Alameda向Tether轉賬美元,Tether發行USDT,這些儲備仍然在Tether手中,不在Alameda的資產負債表上。
Alameda可以通過Tether贖回設施將他們擁有的任何USDT贖回為美元。另外,Tether沒有借給Alameda任何USDT或其他資金,沒有未償還的USDT貸款、Tether儲備金或任何其他資金,也沒有參與任何杠桿活動和交易。此外SolanaUSDT沒有固有風險,Alameda對Solana的大量參與不會影響USDT功能和USDT發行運作的基本動態。部分交易所暫停Solona上USDT存款可能只是由于FTX、Alameda和Solana之間的緊密聯系。[2022/11/18 13:20:06]
相關合約及地址
Solana生態項目Light Protocol宣布將于4月15日上線主網:4月9日消息,Solana生態項目Light Protocol宣布將于4月15日上線主網。關于即將到來的發布和Light Protocol愿景的重要細節如下:
1. Light Shield:首個產品Light Cash已重命名為Light Shield;
2. 安全性:核心協議,包括密碼學,已經外部審計;
3. SDK封閉測試在5月初開始。[2022/4/9 14:14:42]
0x371d7c9e4464576d45f11b27cf88578983d63d75
Saber在Solana鏈上推出算法穩定幣FRAX交易池:7月15日消息,基于Solana的去中心化交易所Saber在Solana鏈上推出算法穩定幣FRAX交易池,用戶可將wFRAX(WormholeFRAX)與Saber上任何的穩定幣進行交易,并可以向wFRAX-USDC流動性池中添加流動性以獲取收益。
Saber通過蟲洞橋(Wormholebridge)將以太坊上的FRAX跨鏈至Solana。Saber表示未來幾天將于FraxFinance社區合作推出流動性激勵措施的提案以推動FRAX在Solana上的使用。[2021/7/15 0:54:13]
●攻擊合約:
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
●OlaFinance相關合約:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻擊流程
0xe800f55這一筆交易舉例:
1.黑客部署了一個攻擊合約0x632942c。
2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。
3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。
4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。
5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。
因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。
雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。
自此,黑客完成了利用一筆抵押進行的多次借款。
6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。
漏洞為何會被利用
該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。
這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。
安全審計發現相關風險。
若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。
技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。
400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。
SincethelaunchofGate.ioofficialleveragedtokencommunityontelegram.
1900/1/1 0:00:001Metafluence(METO)TokenSaleResultTheGate.ioStartupMetafluence(METO)saleresultisasfollows:METOStar.
1900/1/1 0:00:00本文來自Banklessh,原文作者:DavidHoffman,由Odaily星球日報譯者Katie辜編譯。今年夏天,工作證明以太坊區塊鏈將與現有的權益證明信標鏈“合并”.
1900/1/1 0:00:00親愛的ZT用戶: ZT自助板即將上線BDF,並開啟BDF/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年4月2日18:00; BDF 項目簡介:BigDogeFinance.
1900/1/1 0:00:00親愛的用戶: 幣安槓桿“歡樂週五”活動已結束。最後一回的現金券獎勵將於2022年04月01日17:00分發.
1900/1/1 0:00:00尊敬的MEXC用戶: SpaceMisfits(SMCW)項目即將上線MEXCM-Day。在此期活動中,用戶滿足交易額或持倉條件後可獲得新幣資產空投,無需MX兌換,歡迎參加! 一、項目簡介 Sp.
1900/1/1 0:00:00