北京时间2022年3月31日上午10时左右,Fuse上的OlaFinance被恶意利用,导致约400万美元资产遭受损失。
漏洞交易
●其中一笔交易:
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfers
Tether与瑞士南部城市Lugano联合创建欧洲区块链技术采用和创新中心:3月23日消息,稳定币Tether与瑞士南部城市卢加诺市(Lugano)联合创建了一个欧洲区块链技术采用和创新中心。该合作计划通过在当地社区实际应用区块链来展示区块链的真实用例,包括采用加密货币支付和在城市范围内实验区块链解决方案。
据此前消息,Tether宣布将与瑞士南部城市Lugano合作发布“比特币计划”,旨在将其打造为欧洲比特币之都。[2022/3/23 14:13:55]
●所有相关交易均可在此查到:
https://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions
Tether CTO:CBDC将取代SWIFT,私人发行的Stablecoin仍将存在:3月10日消息,Stablecoin发行商Tether CTO Paolo Ardoino在其社交媒体发文表示,未来CBDC将会取代SWIFT,并在银行转账和结算中被大范围采用。出于节能和成本考虑,CBDC将采用私有链,而不是在公链上发行,所以USDT(私人Stablecoin的代表)仍将存在。Paolo Ardoino最后总结道,技术在不断进化,但实际上任何事情都没改变。只有BTC是我们的优势。[2022/3/10 13:48:51]
相关合约及地址
纽约总检察长办公室与Bitfinex和Tether达成和解:Bitfinex和Tether已与纽约州总检察长(NYAG)办公室达成和解,结束了于2019年中开始的法律纠纷。Bitfinex和Tether不承认有任何不当行为,并同意支付1850万美元作为和解的一部分。NYAG停止了Bitfinex和Tether所有在纽约州的交易活动,同时要求其必须提交强制性报告以提高透明度。(The Block)[2021/2/23 17:45:01]
●攻击者地址:0x371d7c9e4464576d45f11b27cf88578983d63d75
声音 | TrustToken联合创始人:Tether事件不会影响整个稳定币市场:5月15日,TrustToken联合创始人兼工程和产品负责人Rafael Cosman在接受采访时表示,对于市场的波动性和Tether事件的影响,Cosman称过去几周的市场上涨也使得几大主要的稳定币市值上升,事实上加密货币市场不稳定性有利于稳定币。因为投资者会倾向于使用稳定币存入或提取法币,然后对其他加密货币进行投资。他表示Tether事件可能会对某些投资者带来损失,但是不会影响整个稳定币市场,对Paxos、TUSD、USDC等Tether的竞争对手来说则是利好消息。[2019/5/17]
●攻击合约:
○0x632942c9BeF1a1127353E1b99e817651e2390CFF
●OlaFinance相关合约:
○oWETH:0x139Eb08579eec664d461f0B754c1F8B569044611
○oWBTC:0xd3f5070d524780CD204AF5A64d6B7D722F686729
攻击流程
我们以0xe800f55这一笔交易举例:
1.黑客部署了一个攻击合约0x632942c。
2.黑客利用部署的攻击合约发起攻击,首先从0x97F4F45闪电贷到515WETH。
3.攻击合约将借到的515WETH存到Erc20Delegator(oWETH)合约,并铸造了25,528.022oWETH用于后续借贷。
4.由于攻击合约拥有了上述步骤中的25,528.022oWETH,即可从另一个Erc20Delegator(oWBTC)合约借得20WBTC。
5.因为WBTC代币合约是一种ERC677合约,在代币转移过程中会发起外部调用。
因为这笔转移发生在借款记录更新之前,而该借贷记录由多个Erc20Delegator合约共享,攻击合约利用外部调用在借款记录更新之前进入另一个Erc20Delegator合约,再次借用代币。
虽然Erc20Delegator合约的借款函数有防止重入的限制,但它只能防止外部调用重入自身合约,而它不能防止外部调用进入其它Erc20Delegator合约并通过共享的借款记录再次借款。
自此,黑客完成了利用一笔抵押进行的多次借款。
6.完成恶意借款之后,黑客于0x97F4F45偿还闪电贷借款。
漏洞为何会被利用
该项目基于Compound合约,Compound合约和ERC677/ERC777的代币之间的不兼容,使该黑客事件成为可能。
这些代币的内置回调函数被利用,允许重入以耗尽借贷池。
写在最后
该次事件可通过安全审计发现相关风险。
若该合约进行审计,我们将会注意到该Compound合约和有外部调用的代币的不兼容型,并提示可能存在的重入问题。
技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。
400万美元说没就没并不是愚人节恶作剧,但项目方如果不重视安全问题极有可能让黑客有机可乘,成为下一个“整蛊对象”。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。