北京时间2022年3月31日上午10时左右,Fuse上的OlaFinance被恶意利用,导致约400万美元资产遭受损失。
漏洞交易
●其中一笔交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
韩国检方就韩国议员推迟加密征税前持有80万枚WEMIX展开调查:5月7日消息,据《朝鲜日报》披露,韩国议员金南国在2021年提出推迟加密货币等虚拟资产的征税法案时持有80万枚WEMIX,价格最高时超 60亿韩元(约合455万美元)。检方已对此事展开调查,以确认是否存在违法行为。[2023/5/7 14:48:29]
●所有相关交易均可在此查到:
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
韩国游戏巨头WeMade将Wemix 3.0主网启动时间推迟至9月份:8月3日消息,韩国游戏巨头WeMade社长张贤国表示,Wemix 3.0主网最早将于下个月发布。而此前6月份,WeMade计划于8月1日启动主网。
据介绍,Wemix 3.0旨在以40个去中心化节点为基础,设计成不受外部威胁的安全保护网络。从规划阶段开始,它的开发目标是成为一个可以将游戏和去中心化金融等区块链服务灵活集成到网络中的公链。(Newsis)[2022/8/3 2:56:00]
相关合约及地址
●攻击者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75
韩国游戏巨头WeMade将于8月1日启动Wemix 3.0主网:6月15日消息,韩国游戏巨头WeMade将于7月1日发布Wemix 3.0测试网,并搭载Wemix钱包和治理DApp,同时还将推出新的游戏平台Wemix Play。Wemade计划在经过彻底的稳定性验证后,于8月1日正式启动主网。
据介绍,Wemix 3.0旨在以40个去中心化节点为基础,设计成不受外部威胁的安全保护网络。从规划阶段开始,它的开发目标是成为一个可以将游戏和去中心化金融等区块链服务灵活集成到网络中的公链。
此外,Wemade计划于第三季度引入稳定币Wemix Dollar协议,启动Wemix DeFi服务,并推出DAO项目平台Nile。(每日经济新闻)[2022/6/15 4:29:10]
●攻击合约:
Solana与TRM Labs集成,为网络成员提供更高安全性和合规性:9月23日消息,区块链分析提供商TRM Labs宣布与Solana集成,通过TRM的风险情报平台,对Solana原生代币SOL和SPL代币资产进行反金融犯罪监控。(Business Wire)[2021/9/24 17:02:24]
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
●OlaFinance相关合约:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻击流程
我们以0xe800f55这一笔交易举例:
1.黑客部署了一个攻击合约0x632942c。
2.黑客利用部署的攻击合约发起攻击,首先从0x97F4F45闪电贷到515WETH。
3.攻击合约将借到的515WETH存到Erc20Delegator(oWETH)合约,并铸造了25,528.022oWETH用于后续借贷。
4.由于攻击合约拥有了上述步骤中的25,528.022oWETH,即可从另一个Erc20Delegator(oWBTC)合约借得20WBTC。
5.因为WBTC代币合约是一种ERC677合约,在代币转移过程中会发起外部调用。
因为这笔转移发生在借款记录更新之前,而该借贷记录由多个Erc20Delegator合约共享,攻击合约利用外部调用在借款记录更新之前进入另一个Erc20Delegator合约,再次借用代币。
虽然Erc20Delegator合约的借款函数有防止重入的限制,但它只能防止外部调用重入自身合约,而它不能防止外部调用进入其它Erc20Delegator合约并通过共享的借款记录再次借款。
自此,黑客完成了利用一笔抵押进行的多次借款。
6.完成恶意借款之后,黑客于0x97F4F45偿还闪电贷借款。
漏洞为何会被利用
该项目基于Compound合约,Compound合约和ERC677/ERC777的代币之间的不兼容,使该黑客事件成为可能。
这些代币的内置回调函数被利用,允许重入以耗尽借贷池。
写在最后
该次事件可通过安全审计发现相关风险。
若该合约进行审计,我们将会注意到该Compound合约和有外部调用的代币的不兼容型,并提示可能存在的重入问题。
技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
400万美元说没就没并不是愚人节恶作剧,但项目方如果不重视安全问题极有可能让黑客有机可乘,成为下一个“整蛊对象”。
说起元宇宙,大家第一时间能想到什么?是头号玩家里的时空穿越还是Facebook改名“Meta”时宣传片里的虚拟办公?都说站在风口猪都可以飞起来,而元宇宙无疑就是最近最大的风口.
2022年3月27日,成都链安链必应-区块链安全态势感知平台舆情监测显示,DeFi协议RevestFinance遭到黑客攻击,损失约12万美元.
DAO的定义 那么,什么是DAO?我们能正确地定义它吗?我们可以从两个角度来尝试定义。 愿景中的DAO 理想情况下,DAO可以在没有任何中央权威或管理层的情况下独立运作,这表现在DAO可以通过使.
Bitfinex委任GilesDixon为授权部主管Bitfinex近日委任GilesDixon为授权部主管,他将在Bitfinex获得全球多个司法管辖区的监管批准和牌照方面发挥主导作用.
如何建立一个持久和参与的社区Go-to和Exit-to社区都符合Web3社区的核心理念和所有权信条:创造一种参与性和价值贡献的文化,在利益相关者之间有一致的激励措施.
Bitfinex希望萨尔瓦多的「比特币债券」只是其平台上众多代币化产品之一金色财经消息,Bitfinex希望萨尔瓦多的「比特币债券」只是其平台上众多代币化产品之一.
区块见闻