宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > PEPE币 > 正文

Ola Finance攻击事件分析:400万美元丢了,你以为这是愚人节故事?

作者:

时间:1900/1/1 0:00:00

北京时间2022年3月31日上午10时左右,Fuse上的OlaFinance被恶意利用,导致约400万美元资产遭受损失。

漏洞交易

●其中一笔交易:

https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers

●所有相关交易均可在此查到:

https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions

安全团队:建议Solana钱包用户尽快转移加密资产至CEX或者硬件钱包:8月3日消息,成都链安链必应-区块链安全态势感知平台舆情监测显示,Solana生态发生大规模盗币事件,经成都链安安全团队分析,事故的原因可能是一次供应链攻击,npm package里面有后门,所以很多钱包受到影响。建议Solana钱包用户尽快转移加密资产至CEX或者硬件钱包,成都链安链必追平台正在对被盗资金进行实时监控。[2022/8/3 2:55:14]

相关合约及地址

0x371d7c9e4464576d45f11b27cf88578983d63d75

Metaplex CEO:本周在Solana上铸造了超1250万个NFT:5月25日消息,基于Solana的NFT托管和铸造平台Metaplex CEO发推称:本周,我们在Solana上铸造了超1250万个NFT,GMV(Gross Merchandise Volume)总额超过了 30 亿美元。[2022/5/26 3:42:03]

●攻击合约:

○0x632942c9BeF1a1127353E1b99e817651e2390CFF

●OlaFinance相关合约:

区块链忠诚度奖励平台Crowny已迁移至Solana:1月18日消息,区块链忠诚度奖励平台Crowny宣布已成功迁移至Solana。用户可以在顶峰AscendEx进行CRWNY SPL代币充提。[2022/1/18 8:57:35]

○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611

○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729

攻击流程

0xe800f55这一笔交易举例:

1.黑客部署了一个攻击合约0x632942c。

2.黑客利用部署的攻击合约发起攻击,首先从0x97F4F45闪电贷到515WETH。

3.攻击合约将借到的515WETH存到Erc20Delegator(oWETH)合约,并铸造了25,528.022oWETH用于后续借贷。

4.由于攻击合约拥有了上述步骤中的25,528.022oWETH,即可从另一个Erc20Delegator(oWBTC)合约借得20WBTC。

5.因为WBTC代币合约是一种ERC677合约,在代币转移过程中会发起外部调用。

因为这笔转移发生在借款记录更新之前,而该借贷记录由多个Erc20Delegator合约共享,攻击合约利用外部调用在借款记录更新之前进入另一个Erc20Delegator合约,再次借用代币。

虽然Erc20Delegator合约的借款函数有防止重入的限制,但它只能防止外部调用重入自身合约,而它不能防止外部调用进入其它Erc20Delegator合约并通过共享的借款记录再次借款。

自此,黑客完成了利用一笔抵押进行的多次借款。

6.完成恶意借款之后,黑客于0x97F4F45偿还闪电贷借款。

漏洞为何会被利用

该项目基于Compound合约,Compound合约和ERC677/ERC777的代币之间的不兼容,使该黑客事件成为可能。

这些代币的内置回调函数被利用,允许重入以耗尽借贷池。

安全审计发现相关风险。

若该合约进行审计,我们将会注意到该Compound合约和有外部调用的代币的不兼容型,并提示可能存在的重入问题。

技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。

400万美元说没就没并不是愚人节恶作剧,但项目方如果不重视安全问题极有可能让黑客有机可乘,成为下一个“整蛊对象”。

标签:OLASOLSolanaSOLAOLA价格Solidexsolana币今日价格solana币发行价格

PEPE币热门资讯
世界迫切需要下一代互联网:Web3

本文来自Cointelegraph,作者:SharatChandra、ShivAggarwalOdaily星球日报译者|胡萝卜须最近的地缘事件使世界两极分化.

1900/1/1 0:00:00
ZT將下架部分幣種

親愛的ZT用戶: 為給用戶提供更好的交易體驗,ZT會對已上線項目進行嚴格審查,根據項目下架規則,ZT決定對DOGECOLA,DXCT,BPET,KEY,FARA,GMR,SMON,NFTL,LUFFY,GOMA.

1900/1/1 0:00:00
Rust智能合约养成日记(6)

相关文章: Rust智能合约养成日记合约状态数据定义与方法实现Rust智能合约养成日记编写Rust智能合约单元测试Rust智能合约养成日记Rust智能合约部署.

1900/1/1 0:00:00
Bitfinex to Support BitTorrent (BTT) Token Swap and Redenomination

We’repleasedtoannouncethatBitfinexwillsupporttheupcomingBitTorrent(BTT)tokenswapandredenominationon28/01/22.Trading.

1900/1/1 0:00:00
XT.COM關於暫停GTC提現的公告

尊敬的XT.COM用戶:因GTC錢包維護,XT.COM现已暫停GTC提現業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任.

1900/1/1 0:00:00
关于Pi Network的首个NFT艺术藏品加密龙王横空出世

想要知道什么是加密龙王CryptoDragonKing首先就要清楚什么是NFT;NFT有那些特点?问题一:什么是非同质化代币?NFT全称是NonFungibleToken,中文是非同质化代币,不同于比特币同质化的形式.

1900/1/1 0:00:00