北京时间2022年3月31日上午10时左右,Fuse上的Ola Finance被恶意利用,导致约400万美元资产遭受损失。漏洞交易
https://explorer.fuse.io/tx/0xe800f55fe6c81baba1151245ebc43692735d4019107f1f96eeb9f05648c79938/token-transfershttps://explorer.fuse.io/address/0x371D7C9e4464576D45f11b27Cf88578983D63d75/transactions相关合约及地址
● 攻击者地址: 0x371d7c9e4464576d45f11b27cf88578983d63d75○ 0x632942c9BeF1a1127353E1b99e817651e2390CFF○ oWETH: 0x139Eb08579eec664d461f0B754c1F8B569044611○ oWBTC: 0xd3f5070d524780CD204AF5A64d6B7D722F686729攻击流程
2. 黑客利用部署的攻击合约发起攻击,首先从0x97F4F45闪电贷到515 WETH。3. 攻击合约将借到的515 WETH存到Erc20Delegator (oWETH)合约,并铸造了25,528.022 oWETH用于后续借贷。4. 由于攻击合约拥有了上述步骤中的25,528.022 oWETH,即可从另一个Erc20Delegator (oWBTC)合约借得20 WBTC。5. 因为WBTC代币合约是一种ERC677合约,在代币转移过程中会发起外部调用。因为这笔转移发生在借款记录更新之前,而该借贷记录由多个Erc20Delegator合约共享,攻击合约利用外部调用在借款记录更新之前进入另一个Erc20Delegator合约,再次借用代币。虽然Erc20Delegator合约的借款函数有防止重入的限制,但它只能防止外部调用重入自身合约,而它不能防止外部调用进入其它Erc20Delegator合约并通过共享的借款记录再次借款。6. 完成恶意借款之后,黑客于0x97F4F45偿还闪电贷借款。漏洞为何会被利用
该项目基于Compound合约,Compound合约和ERC677/ERC777的代币之间的不兼容,使该黑客事件成为可能。这些代币的内置回调函数被利用,允许重入以耗尽借贷池。若该合约进行审计,我们将会注意到该Compound合约和有外部调用的代币的不兼容型,并提示可能存在的重入问题。
技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。400万美元说没就没并不是愚人节恶作剧,但项目方如果不重视安全问题极有可能让黑客有机可乘,成为下一个“整蛊对象”。迄今为止,CertiK已获得了2500家企业客户的认可,保护了超过3110亿美元的数字资产免受损失。
欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!