北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。
漏洞交易
●其中一筆交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
Helium創始人:仍會將Helium遷移至Solana:11月10日消息,Helium創始人Amir Haleem在推特上表示,仍將遵守HIP-70的結果,將Helium遷移至Solana網絡。Amir Haleem表示,從提出HIP-70至今,評估Layer1區塊鏈的標準未曾改變,市場遭受重創不在決策考慮因素中。[2022/11/10 12:43:31]
●所有相關交易均可在此查到:
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
歐易Web3錢包用戶未遭受Solana私鑰泄漏損失:據歐易中文官方推特消息,本次Solana Hack事件中,歐易Web3錢包用戶并未遭受損失,因為錢包未涉及Slope代碼。 同時,歐易Web3錢包的私鑰和助記詞相關操作與第三方服務隔離,無供應鏈攻擊風險;且私鑰或助記詞本地加密存儲,只有用戶可以解密,不觸網,無泄漏風險。[2022/8/5 12:03:48]
相關合約及地址
●攻擊者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75
●攻擊合約:
Solana生態游戲元宇宙Star Atlas推出Star Atlas DAO:7月23日消息,基于Solana的游戲元宇宙Star Atlas宣布推出Star Atlas DAO。該DAO將利用Star Atlas的治理代幣POLIS,使成員能夠參與決策過程。為了實現長期愿景,POLIS鎖定期將長達5年。(The Block)[2022/7/23 2:32:26]
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
●OlaFinance相關合約:
Solana鏈上NFT交易總額突破7億美元 創歷史新高:金色財經報道,據最新數據顯示,Solana鏈上NFT交易總額突破7億美元,創下歷史新高,本文撰寫時為700,255,910美元,鏈上交易總量為503,538筆。當前Solana區塊鏈上NFT交易額最大的NFT項目是Degenerate Ape Academy,交易額為109,421,765美元,其次是Solana Monkey Business,交易額為104,988,992美元,這兩個NFT項目交易總額占到Solana鏈上交易額的30%以上。[2021/11/15 6:52:20]
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻擊流程
我們以0xe800f55這一筆交易舉例:
1.黑客部署了一個攻擊合約0x632942c。
2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。
3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。
4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。
5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。
因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。
雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。
自此,黑客完成了利用一筆抵押進行的多次借款。
6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。
漏洞為何會被利用
該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。
這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。
寫在最后
該次事件可通過安全審計發現相關風險。
若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。
技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。
400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。
Tags:OLASolanaSOLLANASolarCoinsolana幣下半年CryptosolartechLANA幣
據最新消息,TRX成為過去一周全球前五十大加密貨幣中唯一實現正向增長的加密貨幣,成為對抗市場下行最強勁的力量。截至目前,TRX市值為77.9億美元,位居行業第18位.
1900/1/1 0:00:00北京時間2022年4月21日下午3時15分,CertiK審計團隊監測到ZEED項目被攻擊,造成了104萬美金的財產損失.
1900/1/1 0:00:00背景 不知不覺距離波卡首次插槽拍賣已經過去了快4個月,而上個月底,波卡理事會通過了Motion158的決議,安排了今年剩余時間的平行鏈拍賣時間.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00科學數據的語料庫是分散的、受訪問控制的,它們的迅速增長已經超出了中心化服務的維護能力。點對點技術的最新發展使得建立一個對所有人開放的永久科學記錄檔案成為可能.
1900/1/1 0:00:00自問世以來,以太坊鏈已成為加密領域應用最為廣泛的區塊鏈協議,其代幣ETH也已成為最受歡迎的加密貨幣之一,截至目前,市值僅次于比特幣.
1900/1/1 0:00:00