北京时间2022年3月31日上午10时左右,Fuse上的OlaFinance被恶意利用,导致约400万美元资产遭受损失。
漏洞交易
●其中一笔交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
Trust Wallet新增对Solana DApp的支持:9月13日消息,多链非托管钱包Trust Wallet宣布新增对Solana DApp的支持,用户现在可以直接通过Trust Wallet iOS和Android上的DApp浏览器或使用桌面上的Wallet Connect协议将Trust Wallet连接到Solana DApp。[2022/9/14 13:27:50]
●所有相关交易均可在此查到:
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
Solana流支付协议Zebec完成850万美元融资,Circle Ventures等参投:8月27日消息,Solana生态流支付协议Zebec以10亿美元完全稀释估值完成850万美元融资,Circle Ventures、Shima Capital、Resolute Ventures参投。
预计到2022年底,Zebec的收入将达到2000万美元,净利润为600万美元。今年早些时候,Zebec与Visa合作,加入其Fintech Fast Track Program。Zebec很快将推出定制借记卡。此外,到2024年,Zebec用户数量预计将达到200万个。Zebec还计划在收入达到1万亿美元后推出稳定币。
据此前报道,今年3月,Zebec已通过代币公开销售和私募融资2800万美元,并推出ZBC代币。其中2100万美元的私募投资者包括Circle、Coinbase、Solana Ventures、Lightspeed Venture Partners和Alameda Research,另外700万美元的代币公开销售是与Republic合作完成。(Bitcoinist)[2022/8/27 12:51:47]
相关合约及地址
DeFi期权协议Volare Finance完成超600万美元融资:8月4日消息,DeFi 期权协议 Volare Finance 宣布完成超 600 万美元融资,种子轮投资方包括 Digital Currency Group、Genesis Trading 和 Spark Digital Capital,私募轮投资方包括 Arrington Capital、Ava Labs、Bixin Ventures、Blizzard Fund、CRT Labs、DWeb3 Capital、Exnetwork Capital、GSR Markets、Hailstone Ventures、Huobi Ventures、IOBC Capital、Moonrock Capital、ORACLES INVESTMENT GROUP (OIG)、PrimeBlock Ventures、Parataxis Capital、Richard Dai、ViaBTC Capital 和 Waterdrip Capital。
Volare Finance 提供欧式期权、期权组合和奇异期权类 DeFi 期权协议,还允许投资者投资标准或定制的期权策略组合,并基于其基础设施为客户提供对冲、投机和收益提升的工具。[2022/8/4 12:02:49]
●攻击者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75
去中心化多链钱包Coinhub上线Solana网络:据官方消息,去中心化多链钱包 Coinhub 宣布现已上线 Solana网络,用户能够通过 Coinhub 访问 Sonala 生态应用,以及存储和交易 SPL 标准代币。
据悉,去中心化钱包Coinhub是一个支持多平台的多链钱包,集成钱包、数据、理财、挖矿、交易等多种功能,现在已支持 BTC、ETH、HECO、BSC、Solana、MATIC、AVAX、FTM等20+公链,已合作800+dapp,用户分布全球50+国家以及地区。[2021/10/24 6:09:57]
●攻击合约:
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
●OlaFinance相关合约:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻击流程
我们以0xe800f55这一笔交易举例:
1.黑客部署了一个攻击合约0x632942c。
2.黑客利用部署的攻击合约发起攻击,首先从0x97F4F45闪电贷到515WETH。
3.攻击合约将借到的515WETH存到Erc20Delegator(oWETH)合约,并铸造了25,528.022oWETH用于后续借贷。
4.由于攻击合约拥有了上述步骤中的25,528.022oWETH,即可从另一个Erc20Delegator(oWBTC)合约借得20WBTC。
5.因为WBTC代币合约是一种ERC677合约,在代币转移过程中会发起外部调用。
因为这笔转移发生在借款记录更新之前,而该借贷记录由多个Erc20Delegator合约共享,攻击合约利用外部调用在借款记录更新之前进入另一个Erc20Delegator合约,再次借用代币。
虽然Erc20Delegator合约的借款函数有防止重入的限制,但它只能防止外部调用重入自身合约,而它不能防止外部调用进入其它Erc20Delegator合约并通过共享的借款记录再次借款。
自此,黑客完成了利用一笔抵押进行的多次借款。
6.完成恶意借款之后,黑客于0x97F4F45偿还闪电贷借款。
漏洞为何会被利用
该项目基于Compound合约,Compound合约和ERC677/ERC777的代币之间的不兼容,使该黑客事件成为可能。
这些代币的内置回调函数被利用,允许重入以耗尽借贷池。
写在最后
该次事件可通过安全审计发现相关风险。
若该合约进行审计,我们将会注意到该Compound合约和有外部调用的代币的不兼容型,并提示可能存在的重入问题。
技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
400万美元说没就没并不是愚人节恶作剧,但项目方如果不重视安全问题极有可能让黑客有机可乘,成为下一个“整蛊对象”。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。