Ola Finance攻击事件分析:400万美元丢了,你以为这是愚人节故事?

北京时间2022年3月31日上午10时左右,Fuse上的OlaFinance被恶意利用,导致约400万美元资产遭受损失。

漏洞交易

●其中一笔交易:

https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers

●所有相关交易均可在此查到:

https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions

Volatility Shares于今日推出其2x比特币策略ETF:金色财经报道,一位发言人表示,Volatility Shares计划于今日推出其2x比特币策略ETF (?BITX )。该基金寻求相当于标准普尔芝商所比特币期货每日展期指数单日超额回报两倍的投资结果。?

该公司发言人表示,现在,美国的加密货币交易者将可以通过传统的经纪账户方便、流动地获得杠杆比特币敞口,从而在此类平台的法律不确定时期不再需要加密货币交易账户。[2023/6/27 22:01:59]

相关合约及地址

0x371d7c9e4464576d45f11b27cf88578983d63d75

Solana Labs联合创始人:预计Saga手机将带来大量用户增长:7月18日消息,Solana Labs联合创始人Anatoly Yakovenko表示,新手机的推出可能会导致潜在用户数量激增。据此前报道,Anatoly Yakovenko宣布其团队正在开发一款新Android手机Saga,该设备专注于Web3,将包含一个Web3 DApp商店、集成的“Solana Pay”以促进基于二维码的链上支付、一个移动钱包适配器和一个“seed vault”(用于存储私钥)。其成本约1000美元,计划于2023年初开始交付。(Cryptoglobe)[2022/7/18 2:20:17]

●攻击合约:

Terra市值达到历史高点 超越Solana位列第八位:金色财经报道,据 coingecko 数据显示,Terra(LUNA)今日触及105.91美元,创下历史新高,目前已小幅滑落至105.09美元。此外,Terra市值在价格上涨后也达到376.6亿美元历史高点,超越Solana位列加密货币市值第八位。[2022/3/29 14:24:25]

○0x632942c9BeF1a1127353E1b99e817651e2390CFF

●OlaFinance相关合约:

○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611

○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729

攻击流程

0xe800f55这一笔交易举例:

1.黑客部署了一个攻击合约0x632942c。

2.黑客利用部署的攻击合约发起攻击,首先从0x97F4F45闪电贷到515WETH。

3.攻击合约将借到的515WETH存到Erc20Delegator(oWETH)合约,并铸造了25,528.022oWETH用于后续借贷。

4.由于攻击合约拥有了上述步骤中的25,528.022oWETH,即可从另一个Erc20Delegator(oWBTC)合约借得20WBTC。

5.因为WBTC代币合约是一种ERC677合约,在代币转移过程中会发起外部调用。

因为这笔转移发生在借款记录更新之前,而该借贷记录由多个Erc20Delegator合约共享,攻击合约利用外部调用在借款记录更新之前进入另一个Erc20Delegator合约,再次借用代币。

虽然Erc20Delegator合约的借款函数有防止重入的限制,但它只能防止外部调用重入自身合约,而它不能防止外部调用进入其它Erc20Delegator合约并通过共享的借款记录再次借款。

自此,黑客完成了利用一笔抵押进行的多次借款。

6.完成恶意借款之后,黑客于0x97F4F45偿还闪电贷借款。

漏洞为何会被利用

该项目基于Compound合约,Compound合约和ERC677/ERC777的代币之间的不兼容,使该黑客事件成为可能。

这些代币的内置回调函数被利用,允许重入以耗尽借贷池。

安全审计发现相关风险。

若该合约进行审计,我们将会注意到该Compound合约和有外部调用的代币的不兼容型,并提示可能存在的重入问题。

技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。

400万美元说没就没并不是愚人节恶作剧,但项目方如果不重视安全问题极有可能让黑客有机可乘,成为下一个“整蛊对象”。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

SAND盘点2022年最佳的加密市场交易机器人

GTAI交易界面 每天——或者每小时——认真地检查加密货币市场:这是一种肾上腺素激增,但这是最有效的交易方式吗?如果效率是您的目标,那么算法加密货币交易机器人可以提供帮助.

FIL2022/3/30 唯客福利大放送天天红包雨名单

尊敬的唯客用户您好! 唯客福利大放送 活动四:天天红包雨 活动方式: 活动期间每天抽出10位有完成合约交易的用户随机送8、18、38、68、88USDT,周一至周五不限币种,周六指定BTC/USDT,周日指定ETH/USDT.

XMRBitfinex To Support HUMAN (Polygon)

BitfinexhasopeneddepositsforHUMANToken(Polygon)from23/03/22at10:00AMUTC.?BitBoy创始人将对Celsius发起集体诉讼:6月16日消息.

[0:15ms0-1:526ms