12月21日,鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,UniswapV3流動性管理協議VisorFinance于北京時間12月21日晚上10點18分遭受攻擊,總損失約為820萬美元。關于本次攻擊,成都鏈安技術團隊第一時間進行了事件分析。
#1事件概覽
2021年12月21日晚VisorFinance官方Twiiter發布通告稱vVISR質押合約存在漏洞,發文前已有攻擊交易上鏈。
經過成都鏈安技術團隊分析,攻擊者通過惡意合約利用VisorFinance項目的漏洞,偽造了向VisorFinance的抵押挖礦合約(0xc9f27a50f82571c1c8423a42970613b8dbda14ef)存入2億代幣的交易,從而獲取了195,249,950vVISR抵押憑證代幣。然后再利用抵押憑證,從抵押挖礦合約中取出了8,812,958VISR。
美國數字商會:法官Analisa Torres的判決開創了加密貨幣監管的先河:金色財經報道,美國數字商會(CDC)發布SEC訴Ripple案研究報告,該報告詳細審查了該判決,強調了其對加密貨幣行業的深遠影響。該報告指出,法官Analisa Torres的判決開創了加密貨幣監管的先河,區分了投資資產和底層資產。Torres將XRP代幣分銷分為三類:機構銷售、程序化銷售和其他,應用了豪威測試來確定是否構成投資合同。CDC對此判決表示支持,強調了數字資產領域平衡競爭環境的重要性。[2023/8/5 16:20:29]
#2事件具體分析
Bakkt 面向個人的應用將于 3 月 16 日停止服務:2月13日消息,數字資產平臺 Bakkt 宣布其面向個人的應用將于 3 月 16 日停止服務,未來將專注其 B2B 技術解決方案,即通過安全合規平臺上的 SaaS 和 API 解決方案,為企業的客戶提供加密貨幣和忠誠度解決方案。當前的 Bakkt App 用戶將保留對 Bakkt 平臺上所有加密貨幣和現金的訪問權限。用戶仍將能夠查看加密貨幣余額,以及出于計算稅收目的訪問加密貨幣交易報告。[2023/2/14 12:04:43]
攻擊交易為:
美股高開高走,道指漲1%:9月12日消息,美股高開高走,道指漲1%,納指、標普500指數漲超1.2%。[2022/9/13 13:25:08]
https://etherscan.io/tx/0x69272d8c84d67d1da2f6425b339192fa472898dce936f24818fda415c1c1ff3f
攻擊手法大致如下:
1.部署攻擊合約
0x10c509aa9ab291c76c45414e7cdbd375e1d5ace8;
以太坊開發者:以太坊側鏈Gnosis Chain合并測試網Chiado已合并成功:金色財經消息,ETH2.0核心開發者dapplion發推稱,以太坊側鏈Gnosis Chain的主要合并測試網Chiado已合并成功。雖由于未同步的nethermind節點,參與下降,但最終完成了合并。[2022/8/17 12:30:24]
2.通過攻擊合約調用VisorFinance項目的抵押挖礦合約deposit函數,并指定存入代幣數量visrDeposit為1億枚,from為攻擊合約,to為攻擊者地址
0x8efab89b497b887cdaa2fb08ff71e4b3827774b2;
3.在第53行,計算出抵押憑證shares的數量為97,624,975vVISR.
4.由于from是攻擊合約,deposit函數執行第56-59行的if分支,并調用攻擊合約的指定函數;
第57行,調用攻擊合約的owner函數,攻擊合約只要設置返回值為攻擊合約地址,就能夠通過第57行的檢查;
第58行,調用攻擊合約的delegatedTransferERC20函數,這里攻擊合約進行了重入,再次調用抵押挖礦合約的deposit函數,參數不變,因此抵押挖礦合約再次執行第3步的過程;
第二次執行到第58行時,攻擊合約直接不做任何操作;
5.由于重入,抵押挖礦合約向攻擊者發放了兩次數量為97,624,975vVISR的抵押憑證,總共的抵押憑據數量為195,249,950vVISR。
6.提現
攻擊者通過一筆withdraw交易
,將195,249,950vVISR兌換為8,812,958VISR,當時抵押挖礦合約中共有9,219,200VISR。
7.通過UniswapV2,攻擊者將5,200,000VISR兌換為了WETH,兌換操作將UniswapV2中ETH/VISR交易對的ETH流動性幾乎全部兌空,隨后攻擊者將獲得的133ETH發送到Tornado。
#3事件復盤
本次攻擊利用了VisorFinance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:
1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,并接管了抵押挖礦合約的執行流程;<-主要漏洞,造成本次攻擊的根本原因。
2.函數未做防重入攻擊;<-次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。
針對這兩個問題,成都鏈安在此建議開發者應做好下面兩方面防護措施:
1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;
2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。
大家好,我是團子,價值投資雖然不能保證我們穩步盈利,但價值投資給我們提供了走向真正成功的唯一機會。眼睛僅盯在自己小口袋的是小商人,眼光放在世界大市場的是大商人.
1900/1/1 0:00:00視覺中國推出視覺藝術數字藏品交易平臺“元視覺”首發數字藏品《我要上學》收益將捐助希望工程2021年12月26日,視覺中國旗下視覺藝術數字藏品交易平臺——“元視覺”正式上線.
1900/1/1 0:00:00答案是肯定有的 雖然目前GameFi還有很多問題需要優化,但不可否認這也是個充滿未來的賽道。通過Layer2和分片技術將進一步解決基礎設施的問題,隨著VR技術和高質量游戲的推動將優化玩家體驗.
1900/1/1 0:00:00作者:北辰 前段時間整個行業熱點都集中在DAO、Gamefi領域,DeFi領域或多或少被忽視。我們通常把Gamefi、Layer2等熱門領域比作「賽道」,在這條賽道上,有大量同類型的項目可供比較.
1900/1/1 0:00:00最近整個加密圈爆火的概念無疑是NFT和元宇宙,眾多項目似雨后春筍般冒出。社區幾乎不缺乏熱點,近期,CryptoGirlfriend以創新玩法席卷海內外社群,關注這個領域的玩家對于CryptoGi.
1900/1/1 0:00:002021年,“元宇宙”概念引爆科技圈和創投圈。先有字節跳動斥90億重金布局,后有Facebook更名Meta宣告進軍,再到B站測試高能鏈高調入局,各大巨頭的“元宇宙”構想開始初見藍圖,恰恰說明元.
1900/1/1 0:00:00