北京时间2022年3月31日上午10时左右,Fuse上的OlaFinance被恶意利用,导致约400万美元资产遭受损失。
漏洞交易
●其中一笔交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
Solana链上NFT市场Magic Eden交易总额突破10亿美元:5月17日消息,据Dappradar数据显示,Solana链上NFT市场Magic Eden交易总额已突破10亿美元,截止目前为11.9亿美元,交易者数量达到636,802个。数据显示,过去30天,Magic Eden交易额大幅上涨达4,714,908.03SOL(约合2.6亿美元),交易量超过110万笔。[2022/5/18 3:23:28]
●所有相关交易均可在此查到:
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
Instagram正计划支持以太坊、Polygon、Solana和Flow的NFT:5月8日消息,Instagram 正计划集成以太坊、Polygon、Solana 和 Flow 的 NFT,首先会进行试点。目前尚不清楚 Instagram 是否会在发布时同时支持这四个网络。另外,Instagram 不会向用户收取上传和展示 NFT 的费用。(CoinDesk)[2022/5/8 2:58:21]
相关合约及地址
●攻击者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75
●攻击合约:
Cardano市值突破415亿美元,超越Solana和Terra:3月28日消息,据Coin Market Cap数据显示,在ADA价格短时突破1.24美元后,Cardano市值超过415亿美元,暂报41,585,793,439美元,位列加密货币市值排行榜第七。紧随其后的是Solana(约361亿美元)、Terra(约337亿美元)和波卡Polkadot(约246亿美元)。[2022/3/29 14:23:24]
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
●OlaFinance相关合约:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
Race Capital合伙人:加密交易的兴奋感将推高人们对比特币和Solana的兴趣:1月4日消息,风险投资机构Race Capital的普通合伙人Alfred Chuang表示,该公司看好比特币和Solana,并表示这两种资产属于将继续推动加密货币交易的类别。
在接受CNBC采访时,Chuang表示,加密货币引发的兴奋感是由对广义金融产品的需求所引导的,这种需求伴随着民主化,因此能够触及更多的人。
据Chuang说,加密货币的潜在增长是技术上“最令人兴奋的时期”,主要是因为去中心化的性质,消除了对中介的需求。
Chuang对Solana的看好与加密货币交易所FTX创始人Sam Bankman-Fried(SBF)的观点一致。SBF相信SOL的价值将会飙升,提到其用了独特的底层技术,表明它正在与以太坊竞争。(Finbold)[2022/1/4 8:24:37]
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻击流程
我们以0xe800f55这一笔交易举例:
1.黑客部署了一个攻击合约0x632942c。
2.黑客利用部署的攻击合约发起攻击,首先从0x97F4F45闪电贷到515WETH。
3.攻击合约将借到的515WETH存到Erc20Delegator(oWETH)合约,并铸造了25,528.022oWETH用于后续借贷。
4.由于攻击合约拥有了上述步骤中的25,528.022oWETH,即可从另一个Erc20Delegator(oWBTC)合约借得20WBTC。
5.因为WBTC代币合约是一种ERC677合约,在代币转移过程中会发起外部调用。
因为这笔转移发生在借款记录更新之前,而该借贷记录由多个Erc20Delegator合约共享,攻击合约利用外部调用在借款记录更新之前进入另一个Erc20Delegator合约,再次借用代币。
虽然Erc20Delegator合约的借款函数有防止重入的限制,但它只能防止外部调用重入自身合约,而它不能防止外部调用进入其它Erc20Delegator合约并通过共享的借款记录再次借款。
自此,黑客完成了利用一笔抵押进行的多次借款。
6.完成恶意借款之后,黑客于0x97F4F45偿还闪电贷借款。
漏洞为何会被利用
该项目基于Compound合约,Compound合约和ERC677/ERC777的代币之间的不兼容,使该黑客事件成为可能。
这些代币的内置回调函数被利用,允许重入以耗尽借贷池。
写在最后
该次事件可通过安全审计发现相关风险。
若该合约进行审计,我们将会注意到该Compound合约和有外部调用的代币的不兼容型,并提示可能存在的重入问题。
技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
400万美元说没就没并不是愚人节恶作剧,但项目方如果不重视安全问题极有可能让黑客有机可乘,成为下一个“整蛊对象”。
如何建立一个持久和参与的社区Go-to和Exit-to社区都符合Web3社区的核心理念和所有权信条:创造一种参与性和价值贡献的文化,在利益相关者之间有一致的激励措施,关键资产由社区共同所有与共同管理.
1900/1/1 0:00:00MantaNetwork与Axelar近期宣布了跨链合作,MantaNetwork将通过Axelar跨链桥为其Layer1隐私网络引入更多生态资产.
1900/1/1 0:00:00简单的总结 1)要求不可验证的信任。像Web2/离线服务一样,权限是在链下确认的。一个例子是众筹平台,在这些平台上,利益和权利往往以文字形式写下来,在实际购买后很难执行/验证.
1900/1/1 0:00:00用质押换取做任务的资格,以及完成任务就能赢得代币,这种办法让DAO在向社区成员发布任务时更加容易。 问题 在DAO中,核心团队拼命发挥社区的效能,而社区中的其他成员虽然也想有所建树,但苦于没有机会.
1900/1/1 0:00:00社区是一个长期的过程.创造暂时的关注是一回事,但培养有意义的关系群体并团结整个社区在一段时间内贡献他们的时间和精力是另一回事.
1900/1/1 0:00:002022年3月13日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Paraluni合约遭受攻击,损失约170万美元,成都链安技术团队对此事件进行了相关分析.
1900/1/1 0:00:00