BTC/HKD+1.13%
ETH/HKD+1.92%
LTC/HKD+0.72%
DOT/HKD+0.52%
ADA/HKD+2.49%
SOL/HKD+3.6%
XRP/HKD+1.38%
DOGE/US+1.23%北京時間2022年3月31日上午10時左右,Fuse上的OlaFinance被惡意利用,導致約400萬美元資產遭受損失。
漏洞交易
●其中一筆交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
●所有相關交易均可在此查到:
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
數據:Lido已支付Solana質押獎勵突破30萬枚SOL,價值近600萬美元:金色財經報道,據流動性質押協議Lido官方數據顯示,當前已支付Solana質押獎勵突破30萬枚SOL,本文撰寫時為300,916 SOL,價值約為5,943,080美元,此外Lido平臺的SOL總質押量觸及2,636,173枚,當前APR達到6.7%。[2023/9/9 13:28:59]
相關合約及地址
0x371d7c9e4464576d45f11b27cf88578983d63d75
●攻擊合約:
OpenSea宣布啟動Solana Launchpad:金色財經消息,OpenSea官方發布博客稱,在OpenSea上正式啟動Solana Launchpad。有了這個新的功能,創作者現在可以在OpenSea上從頭到尾托管一次NFT鑄造活動。創作者現可在OpenSea上瀏覽所有NFT鑄造前活動、社區和支持者的許可名單,以及所有鑄造NFT后活動和二次銷售。此外,用戶Solana 收藏NFT將自動出現在 OpenSea 上,并允許用戶自托管 NFT。(opensea.io)[2022/7/19 2:22:22]
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
Switchboard為基于Solana的DAO基礎設施協議Grape Protocol提供預言機服務:10月5日消息,Switchboard宣布與基于Solana的“DAO基礎設施”協議Grape Protocol達成合作。Switchboard正在為后者提供鏈上預言機基礎設施,使每個數據源都經過審查,并與用戶激勵措施相一致。Grape Network目前正在使用Switchboard提供鏈上數據,用于社區指標,如錢包數量和TVL,以及NFT指標,如唯一持有者的數量和每個社區的NFT數量。[2021/10/5 17:25:13]
●OlaFinance相關合約:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻擊流程
0xe800f55這一筆交易舉例:
1.黑客部署了一個攻擊合約0x632942c。
2.黑客利用部署的攻擊合約發起攻擊,首先從0x97F4F45閃電貸到515WETH。
3.攻擊合約將借到的515WETH存到Erc20Delegator(oWETH)合約,并鑄造了25,528.022oWETH用于后續借貸。
4.由于攻擊合約擁有了上述步驟中的25,528.022oWETH,即可從另一個Erc20Delegator(oWBTC)合約借得20WBTC。
5.因為WBTC代幣合約是一種ERC677合約,在代幣轉移過程中會發起外部調用。
因為這筆轉移發生在借款記錄更新之前,而該借貸記錄由多個Erc20Delegator合約共享,攻擊合約利用外部調用在借款記錄更新之前進入另一個Erc20Delegator合約,再次借用代幣。
雖然Erc20Delegator合約的借款函數有防止重入的限制,但它只能防止外部調用重入自身合約,而它不能防止外部調用進入其它Erc20Delegator合約并通過共享的借款記錄再次借款。
自此,黑客完成了利用一筆抵押進行的多次借款。
6.完成惡意借款之后,黑客于0x97F4F45償還閃電貸借款。
漏洞為何會被利用
該項目基于Compound合約,Compound合約和ERC677/ERC777的代幣之間的不兼容,使該黑客事件成為可能。
這些代幣的內置回調函數被利用,允許重入以耗盡借貸池。
安全審計發現相關風險。
若該合約進行審計,我們將會注意到該Compound合約和有外部調用的代幣的不兼容型,并提示可能存在的重入問題。
技術團隊應及時關注已發生的安全事件,并且檢查自己的項目中是否存在類似問題。
400萬美元說沒就沒并不是愚人節惡作劇,但項目方如果不重視安全問題極有可能讓黑客有機可乘,成為下一個“整蠱對象”。
DearValuedUsers,HuobiGlobalwillbeopeningXDEFI(XDefi)?spottrading(XDEFI/USDT)at12:00(UTC)onApr1.Di.
1900/1/1 0:00:00市場上對于DAO的討論與研究數不勝數,但大多都是關于DAO的歷史發展、定義和作用,目前還有沒就DAO的自治“A”程度進行分類的相關內容.
1900/1/1 0:00:00DearValuedUsers,Torewardusers''overwhelminglypositiveresponsetoourfirstroundofthe"Upto100%TakerFe.
1900/1/1 0:00:00CertiK在KYC過程中發現,SAFUU協議創始人與CleverDeFi及?TagzExchange高風險項目相關.
1900/1/1 0:00:00原文作者:??Cryptouf原文標題:JoinaDAO:Fewtips 前言 有人說DAO是世界第八大奇跡.
1900/1/1 0:00:00幣圈咨詢3月31日熱點;1.浙江省fagai委等部門發布關于整治虛擬貨幣挖kuang設備的通知2.美國證交會將加密資產等列為2022年的重點檢查對象3.
1900/1/1 0:00:00
以太坊交易所
