Uniswap V3流動性管理協議Visor Finance再遭黑客攻擊，VISR暴跌近95%_ISR

12月22日，UniswapV3流動性管理協議VisorFinance再次遭受黑客攻擊，黑客借助漏洞提取了超過880萬個VISR并在Uniswap上賣出，導致VISR代幣暴跌近95%，通過TornadoCash進行洗幣后黑客獲利超過120枚ETH。

目前Visor官方表示將對攻擊前地址數據進行快照，進行VISR遷移和退還。新Token將會采用新的名稱替換舊的VISR名稱，Token經濟學保持不變，并且將使用新代幣以1:1的比例贖回，包括質押在vVISR合約中的代幣和質押在Tokemak中的Token。

數據：3個巨鯨地址在PEPE下跌至0.000002美元附近買入400萬美元PEPE:金色財經報道，Lookonchain監測數據顯示，在PEPE價格下跌后，3個巨鯨地址開始購買PEPE。當PEPE價格為0.000002054美元時，0x50C1開頭地址從Binance提取1.4T 枚PEPE(276萬美元)。0x2Baa開頭地址以0.000001942美元的價格以223枚ETH(41.2萬美元)買入2120億枚PEPE。0x3AE8開頭地址以0.000001957美元的價格以450枚ETH(83.1萬美元)買入4240億枚PEPE。[2023/5/9 14:52:01]

據慢霧安全團隊分析，VisorFinance項目遭受攻擊是由于RewardsHypervisor合約在對用戶充值進行權限檢查時存在缺陷，導致攻擊者可以構造惡意合約以進行任意鑄造抵押憑證。

Optimism主網Bedrock升級提案V2版本已發布，涵蓋嚴格的升級標準流程:3月10日消息，治理頁面顯示，關于以太坊二層解決方案Optimism主網Bedrock升級提案的新版本（即V2版本）已發布，該版本制定了一套嚴格的升級上線標準，而不是在提案本身中指定確切的日期。

該標準流程為：1.先在Optimism Goerli上進行Regolith硬分叉（預計北京時間3月18日03:00激活），其中包含Sherlock最近發現的改進；2.后續審計，以測試上次審計后所做的修復；3.進行從無效輸出root遷移和恢復的內部升級演練，在共識和功能凍結的版本上進行2周的測試網穩定性，然后發布公告并提前3周通知社區Bedrock升級時間。只有在達到測試網穩定性的標準后，Optimism基金會才會宣布升級日期，至少在發布日期后3周。升級將在特定時間觸發，而不是區塊高度。[2023/3/10 12:54:22]

具體分析內容如下：

Pantera Capital CEO：鏈游和NFT剛剛達到足夠多人使用的臨界質量:8月11日消息，Pantera Capital首席執行官Dan Morehead在接受RealVision采訪時表示，加密世界是周期性的，總會有新的機會可以抓住，例如DeFi和NFT。

Dan Morehead稱：“我認為DeFi現在非常便宜，但下一個前沿領域時游戲和NFT，這兩個領域剛剛達到足夠多人使用的臨界質量（critical mass），區塊鏈游戲也是相關的。在Pantera Capital的風險投資組合中，涉及很多領域，我們也一直是Layer 2擴展解決方案的大型投資者，比特幣和以太坊很棒，但它們目前只能進行非常有限的交易，所以我們需要Layer 2。”（The Daily Hodl）[2022/8/11 12:17:44]

1.用戶可以通過VisorFinance的RewardsHypervisor合約中的deposit函數進行VISR代幣抵押，其會先將用戶的VISR代幣轉進合約中，并鑄造對應的抵押憑證給用戶。若用戶在進行deposit操作時傳入的from地址是合約地址，那么其會先進行owner檢查再調用from合約的delegatedTransferERC20函數將VISR代幣轉入抵押合約中，但owner檢查卻檢查的是from合約的owner是否是調用者。因此攻擊者可以部署惡意合約使得惡意合約owner滿足此檢查，隨后就可以為任意地址鑄造抵押憑證。?

2.攻擊者利用憑空鑄造的抵押憑證即可直接通過RewardsHypervisor合約的withdraw函數將合約中抵押的VISR取出。

因此，此次攻擊是由于RewardsHypervisor合約在對用戶充值進行權限檢查時存在缺陷，導致攻擊者可以構造惡意合約以進行任意鑄造抵押憑證。

參考交易：

https://etherscan.io/tx/0x69272d8c84d67d1da2f6425b339192fa472898dce936f24818fda415c1c1ff3f

https://etherscan.io/tx/0x6eabef1bf310a1361041d97897c192581cd9870f6a39040cd24d7

Tags：ISRVISRPEPEVisorVISR幣pepe幣能上1U嗎GastroAdvisor

波場