火星链 火星链
Ctrl+D收藏火星链
首页 > 莱特币 > 正文

OLA:Ola Finance攻击事件分析:400万美元丢了,你以为这是愚人节故事?

作者:

时间:1900/1/1 0:00:00

北京时间2022年3月31日上午10时左右,Fuse上的OlaFinance被恶意利用,导致约400万美元资产遭受损失。

漏洞交易

●其中一笔交易:

https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers

●所有相关交易均可在此查到:

https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions

数据:当前Solana生态总市值为111.01亿美元:金色财经消息,据CoinGecko最新数据显示,当前Solana生态总市值为111.01亿美元(截至发稿时为11,101,729,597美元),24小时交易额为8.19亿美元(截至发稿时为819,849,580美元)。[2022/12/4 21:20:40]

相关合约及地址

0x371d7c9e4464576d45f11b27cf88578983d63d75

●攻击合约:

○0x632942c9BeF1a1127353E1b99e817651e2390CFF

数据:当前Solana生态总市值为176.13亿美元,近24小时下跌4.9%:金色财经消息,据CoinGecko最新数据显示,当前Solana生态总市值为176.13亿美元(截至发稿时为17,613,081,582美元,近24小时下跌4.9%),24小时交易额为2,452,544,134美元。[2022/7/1 1:43:18]

●OlaFinance相关合约:

○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611

○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729

DeFi衍生品交易平台Zeta Markets将在Solana主网上线:1月13日消息,Solana生态DeFi衍生品交易平台Zeta Markets宣布将于美国东部时间1月17日9点(北京时间22点)在Solana主网上线。此外,Zeta还与加密衍生品做市商LedgerPrime和Pattern Research建立战略合作伙伴关系,以确保平台上所有交易的首日流动性。

据此前报道,基于Solana的DeFi期货和期权交易所Zeta Markets宣布完成850万美元的战略轮融资,Jump Capital领投。[2022/1/13 8:46:28]

攻击流程

0xe800f55这一笔交易举例:

1.黑客部署了一个攻击合约0x632942c。

2.黑客利用部署的攻击合约发起攻击,首先从0x97F4F45闪电贷到515WETH。

3.攻击合约将借到的515WETH存到Erc20Delegator(oWETH)合约,并铸造了25,528.022oWETH用于后续借贷。

4.由于攻击合约拥有了上述步骤中的25,528.022oWETH,即可从另一个Erc20Delegator(oWBTC)合约借得20WBTC。

5.因为WBTC代币合约是一种ERC677合约,在代币转移过程中会发起外部调用。

因为这笔转移发生在借款记录更新之前,而该借贷记录由多个Erc20Delegator合约共享,攻击合约利用外部调用在借款记录更新之前进入另一个Erc20Delegator合约,再次借用代币。

虽然Erc20Delegator合约的借款函数有防止重入的限制,但它只能防止外部调用重入自身合约,而它不能防止外部调用进入其它Erc20Delegator合约并通过共享的借款记录再次借款。

自此,黑客完成了利用一笔抵押进行的多次借款。

6.完成恶意借款之后,黑客于0x97F4F45偿还闪电贷借款。

漏洞为何会被利用

该项目基于Compound合约,Compound合约和ERC677/ERC777的代币之间的不兼容,使该黑客事件成为可能。

这些代币的内置回调函数被利用,允许重入以耗尽借贷池。

安全审计发现相关风险。

若该合约进行审计,我们将会注意到该Compound合约和有外部调用的代币的不兼容型,并提示可能存在的重入问题。

技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。

400万美元说没就没并不是愚人节恶作剧,但项目方如果不重视安全问题极有可能让黑客有机可乘,成为下一个“整蛊对象”。

标签:OLASOLSolanaLANACOLA价格solana币发行价格solana币今日走势图solana币最新消息

莱特币热门资讯
COM:XT.COM關於支持GHC合約更換的公告

尊敬的XT.COM用戶:應GHC項目方要求,GHC將更換新的合約地址。新合約地址:https://bscscan.com/token/0x22de16487955ae1f842fa0c0bff6.

1900/1/1 0:00:00
MAKE:Jump Crypto:深入分析区块链基础设施细分赛道

原文作者:RahulMaganti/JumpCrypto合伙人,RahulMaganti/JumpCrypto副总裁原文标题:《PeekingUndertheHood:KeyPillarsofC.

1900/1/1 0:00:00
BER:BKEX 关于上线 BERRY(Berry) 并开放充值功能的公告

尊敬的用户:?????????BKEX即将上线BERRY,详情如下:上线交易对:BERRY/USDT??币种类型:ERC20充值功能开放时间:已开放交易功能开放时间:2022年4月1日19:00.

1900/1/1 0:00:00
tweebaa:WEEX部份地区网络紧急维护(已排除)

已于2022/04/0307:58全数排除异常情况。目前WEEX于05:23分开始部份地区出现网络异常情况,技术正在紧急排除中,期间给您带来的不便,敬请谅解;请放心用户之资金都是安全无虞的,待抢.

1900/1/1 0:00:00
GLO:BKEX 关于ETP专区新增CVX3L、CVX3S(Convex Finance)的公告

尊敬的用户:BKEXETP专区将于2022年3月31日15:00上线CVX3L、CVX3S,具体详情如下:?交易标的交易对CVX3L(CVX三倍做多)CVX3L/USDTCVX3S(CVX三倍做.

1900/1/1 0:00:00
Gate.io:Gate.io 關於支持 Elrond (EGLD) 升級計劃的公告

根據Elrond官方消息,Elrond(EGLD)計劃於4月4日進行v1.3.13.0版本升級.

1900/1/1 0:00:00