月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 瑞波币 > 正文

OLA:Ola Finance攻击事件分析:400万美元丢了,你以为这是愚人节故事?-ODAILY_SOLAPE

作者:

时间:1900/1/1 0:00:00

北京时间2022年3月31日上午10时左右,Fuse上的OlaFinance被恶意利用,导致约400万美元资产遭受损失。

漏洞交易

●其中一笔交易:

https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers

Solana Labs在纽约开设25,000平方英尺的办公场所:金色财经报道,根据周四的公告,Solana Labs将在纽约曼哈顿下城开设一个25,000平方英尺的4层社区办公场所,Solana生态系统中构建的web3公司将可以再这里协同工作、洽谈和举办活动,Solana生态系统团队可以申请在该办公室工作,一旦被选中,他们将免费使用属于自己的办公场所。

Solana Labs发言人表示,Solana Labs没有购买该办公场所。Solana Labs是141 E Houston St.的租户,公司有10年的租约,占用6-9层。75%的空间预留给Solana生态系统团队,经批准后可以免费合作。[2023/5/12 14:58:19]

●所有相关交易均可在此查到:

NFT项目EpoLabs的Discord服务器遭攻击:7月30日消息,据CertiK监测,NFT项目EpoLabs(前Eponym)的Discord服务器遭到攻击,在该团队重新获得账号控制权之前,请社区用户不要点击任何公告。[2022/7/30 2:48:07]

https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions

相关合约及地址

●攻击者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75

Solana总交易数已突破500亿笔:1月7日消息,Solana索引器SolanaFM发推称,数据显示,Solana总交易数已突破500亿笔。此外,每秒交易数为1878笔,平均交易成本为0.00025美元,验证器节点为1362个。[2022/1/7 8:31:32]

●攻击合约:

○0x632942c9BeF1a1127353E1b99e817651e2390CFF

●OlaFinance相关合约:

○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611

动态 | 以太坊开源银行Marble推出基于Uniswap的价格预言机Polaris:以太坊开源银行Marble推出基于去中心化交易所Uniswap的价格预言机Polaris。Marble表示Polaris通过选取Uniswap价格检查点的中位数,使价格攻击成本更高。价格操纵在单一交易所需的时间被延长,因而变得更加困难和昂贵。此外,Polaris采用一系列激励措施鼓励第三方参与者定期检查价格,从而保持价格准确。[2019/4/2]

○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729

攻击流程

我们以0xe800f55这一笔交易举例:

1.黑客部署了一个攻击合约0x632942c。

2.黑客利用部署的攻击合约发起攻击,首先从0x97F4F45闪电贷到515WETH。

3.攻击合约将借到的515WETH存到Erc20Delegator(oWETH)合约,并铸造了25,528.022oWETH用于后续借贷。

4.由于攻击合约拥有了上述步骤中的25,528.022oWETH,即可从另一个Erc20Delegator(oWBTC)合约借得20WBTC。

5.因为WBTC代币合约是一种ERC677合约,在代币转移过程中会发起外部调用。

因为这笔转移发生在借款记录更新之前,而该借贷记录由多个Erc20Delegator合约共享,攻击合约利用外部调用在借款记录更新之前进入另一个Erc20Delegator合约,再次借用代币。

虽然Erc20Delegator合约的借款函数有防止重入的限制,但它只能防止外部调用重入自身合约,而它不能防止外部调用进入其它Erc20Delegator合约并通过共享的借款记录再次借款。

自此,黑客完成了利用一笔抵押进行的多次借款。

6.完成恶意借款之后,黑客于0x97F4F45偿还闪电贷借款。

漏洞为何会被利用

该项目基于Compound合约,Compound合约和ERC677/ERC777的代币之间的不兼容,使该黑客事件成为可能。

这些代币的内置回调函数被利用,允许重入以耗尽借贷池。

写在最后

该次事件可通过安全审计发现相关风险。

若该合约进行审计,我们将会注意到该Compound合约和有外部调用的代币的不兼容型,并提示可能存在的重入问题。

技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。

400万美元说没就没并不是愚人节恶作剧,但项目方如果不重视安全问题极有可能让黑客有机可乘,成为下一个“整蛊对象”。

标签:OLASolanaSOLASOLSOLAPEsolana币今日价格SolaniumSOLDIER币

瑞波币热门资讯
BTF:孙宇晨阁下在比特币纪录片《Aligning The Future》中的精彩片段(一)-ODAILY_Scoobi Doge

格林纳达常驻世界贸易组织代表、特命全权大使、波场TRON创始人孙宇晨先生阁下受邀参与的纪录片《AligningTheFuture》中英字幕完整版已正式上线.

1900/1/1 0:00:00
DAO:DAOrayaki:10个正在被DAO颠覆的行业-ODAILY_NFTDAO

DAO会是下一次工业革命吗? 基础设施/金融法律可持续发展教育领域行动主义IRL(现实生活)风险投资艺术科学时尚 在我们写下《DAO改变世界的15种方式》后的8个月里.

1900/1/1 0:00:00
比特币:顶峰课堂:经济术语「缺口」-ODAILY_DxChain Token

缺口是指资产价格在快速变动过程中,由于一段价格区间内没有产生任何交易而产生的一种价格跳空现象,显示在K线图上,就是一个真空区域,这片真空区域就被称为“缺口”,或者“跳空”.

1900/1/1 0:00:00
Superfluid_HQ被黑分析-ODAILY

前?2022年2月8日,知道创宇区块链安全实验室监测到以太坊上的DeFi协议superfluid遭遇黑客攻击,损失超1300万美元。实验室第一时间跟踪本次事件并分析.

1900/1/1 0:00:00
WOR:又一跨链项目Wormhole被盗,跨链真的是伪命题吗?-ODAILY_OLE

背景2月3日,正当我们在开心过年的时候,Crypto行业却再次发生了天价黑客攻击事件,跨链协议Wormhole遭到黑客攻击,损失高达12万枚wETH.

1900/1/1 0:00:00
COIN:DAOrayaki:二次方融资与有效利他主义-ODAILY_ITCO

摘要这篇文章,主要探讨了有效利他主义和web3.0的交集以及对GitcoinGrants2.0的扩展建议,希望将GitcoinGrants越来越多地引导到最有效的事业上.

1900/1/1 0:00:00