北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。
漏洞交易
●其中一筆交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
●所有相關交易均可在此查到:
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
Helium:遷移至Solana后Helium錢包將立即支持原生sub DAO代幣贖回:金色財經報道,去中心化無線通信網絡Helium官方發文稱Binance.US宣布計劃在Solana遷移之前,于2023年3月21日下架HNT/USD和HNT/USDT交易對,盡管Helium基金會對Binance.US決定在遷移之前采取這一行動感到失望,但我們理解他們的立場。
Helium表示遷移后Helium錢包應用將立即支持原生subDAO代幣贖回(如HIP70中所述)以及SolanaDeFi平臺內的其他集成,同時為HNT解鎖更多去中心化交易協議。(Medium)[2023/3/14 13:02:38]
相關合約及地址
Solana啟動為期三周的Grizzlython黑客馬拉松,提供500萬美元獎金和種子資金:2月3日消息,Solana宣布啟動Grizzlython黑客馬拉松,為期三周,持續時間為2023年2月2日至3月14日。Grizzlython提供500萬美元全球獎金和種子資金,贏得Grand Champion可獲得由Circle贊助的5萬枚USDC獎勵。此外,Grizzlython還設置Moblie、DeFi、Payments、Consumer、Tools/Infrastructure、Gaming和DAO/Network States專門獎項。[2023/2/3 11:45:24]
0x371d7c9e4464576d45f11b27cf88578983d63d75
Solana鏈上合成資產協議Parcl上線測試網3.0版本:6月28日消息,據官方發推稱,Solana鏈上合成資產協議Parcl宣布上線測試網3.0版本,測試網2.0結束以來,團隊進行了幾項改進,包括添加實時價格饋送等新功能。[2022/6/28 1:35:18]
●攻擊合約:
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
●OlaFinance相關合約:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻擊流程
0xe800f55這一筆交易舉例:
1.黑客部署了一個攻擊合約0x632942c。
2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。
3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。
4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。
5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。
因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。
雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。
自此,黑客完成了利用一筆抵押進行的多次借款。
6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。
漏洞為何會被利用
該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。
這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。
安全審計發現相關風險。
若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。
技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。
400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。
據美FINRA稱,大多數散戶投資者不了解市場上許多復雜的投資產品及其相關風險。這迫使該監管機構向所有成員發出通知,要求其成員遵守《監管最佳利益法案》,該法案要求經紀人按照客戶的最佳利益行事.
1900/1/1 0:00:00又到了每月安全盤點時刻!據成都鏈安安全輿情監控數據顯示:2022年3月,各類安全事件仍然時有發生,3月發生較典型安全事件超『30』起。暴露出來的安全風險創下2022開年以來的新高.
1900/1/1 0:00:00商務助理 - 崗位職責 會議安排協助接待和代理談判,維護日常數據查詢和自動化程序維護- 任職資格 衍生品交易所WEEX擬以1億美元估值完成新一輪融資,FSN計劃領投:8月3日消息.
1900/1/1 0:00:00三星在創新方面又向前邁進了一大步,將NFT平臺納入了其新的智能電視系列,讓消費者能夠在自己的家中感受到Web3的熱情.
1900/1/1 0:00:00尊敬的用戶:?????????BKEX即將上線NTVRK,詳情如下:上線交易對:NTVRK/USDT??幣種類型:ERC20充值功能開放時間:已開放交易功能開放時間:2022年3月30日17:0.
1900/1/1 0:00:00本文來自?The?Block,原文作者:FrankChaparroOdaily星球日報譯者?|念銀思唐宣布收購Altonomy的場外交易柜臺OTC?Desk.
1900/1/1 0:00:00