Reaper Farm遭到惡意利用，損失160萬美元事件分析-ODAILY_KST

北京時間2022年8月2日13點，CertiK安全團隊監測到ReaperFarm的ReaperVaultV2合約被惡意利用，導致了價值超過160萬美元的損失。

攻擊者利用ReaperVaultV2合約中的一個漏洞——可以銷毀其他用戶的vaultshare并提取代幣，以此從多個vault提取了大量的代幣。

Real Vision創始人：當前的牛市可能會延續至明年3月到6月:11月5日消息，前高盛對沖基金經理、Real Vision創始人Raoul Pal認為社交媒體專家是錯誤的，加密市場周期不會在今年結束。

Raoul Pal預測當前牛市不會像2015年和2017年那樣在12月結束，而是會延續到（明年）3月到6月之間的某個時間。據Pal稱，比特幣、以太坊和山寨幣市場可能“走最痛苦的道路”，在未來六個月內可能會出現兩次崩盤。“我的猜測是，我們可能會遭遇拋售，然后再次暴跌，因為這是最痛苦的道路，而市場往往會走最痛苦的道路。”

他認為，即將推出的ETH 2.0和可能在2022年上半年推出的以太坊ETF可能會成為大規模反彈的催化劑，擴大進入加密市場的渠道，并吸引大型機構。“機構傾向于按季度進行資產配置決策，我估計在明年1月至3月的這個季度，我們將看到大量資金流入。”（Cointelegraph）[2021/11/5 6:33:17]

截至北京時間2022年8月3日8點，160萬DAI、62ETH以及200Matic已被存入TornadoCash。

Blockstream完成2.1億美元B輪融資并收購芯片設計公司Spondoolies:8月24日消息，比特幣和區塊鏈基礎設施公司Blockstream宣布以32億美元估值完成2.1億美元B輪融資，投資機構為BaillieGifford和iFinex。Blockstream還同時宣布收購比特幣挖礦硬件制造商Spondoolies的知識產權，Spondoolies的核心團隊也將加入Blockstream并專注ASIC芯片設計和制造。Spondoolies由以色列的半導體資深專家創立，自2013年成立以來已經制造了五種挖礦產品。Blockstream表示將于明年推出第一個企業級礦機，將加速比特幣挖礦領域的持續擴張和去中心化。另外Blockstream還將利用此次籌集的資金建立未來的金融基礎設施，特別是以比特幣為重點的金融產品和其側鏈Liquid網絡（BitcoinMagazine）[2021/8/24 22:34:24]

攻擊步驟

Real Vision創始人：正押注虛擬空間和社交代幣:金色財經報道，前高盛高管、Real Vision創始人Raoul Pal表示，他正在押注兩組新興的加密資產，即虛擬空間(metaverse)和社交代幣。虛擬空間包括NFT、虛擬地塊和其他數字收藏品。此外，他表示，其現在的投資組合包括25%的比特幣、55%的以太坊和20%的其他資產。[2021/6/16 23:39:42]

①攻擊者部署了一個攻擊者合約，通過該合約，攻擊者可在一次交易中從Reapervault提取多個用戶的資產。

②ReaperVaultV2合約并未檢查shareowner與messagesender之間的關系，因此攻擊者可以多次通過攻擊者合約提取vault用戶的資產。

③攻擊者將從金庫提取的代幣換成DAI、ETH和Matic，并將其存入TornadoCash。

漏洞交易

漏洞交易之一：

https://ftmscan.com/tx/0xc929f3b9312ff26be0adb1c3ff832dbdafdcbcaad33d002744effd515e53c9d5

其余漏洞交易:

https://ftmscan.com/address/0x5636e55e4a72299a0f194c001841e2ce75bb527a

漏洞分析

在ReaperVaultV2合約的`withdraw()`函數中，vaultshare所有者可以是msg.sender以外的賬戶。同時，所有者與msg.sender之間的關系或是allowance未被選中，意味著人們可以從vault提取其他用戶的資產。

寫在最后

本次攻擊事件本可通過審計發現「缺乏訪問控制」這一風險因素。該風險因素將被歸類于嚴重等級的風險。

而除審計外，CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。

Tags：REAULTVAULTKSTIceBreak-RULTGG幣VaultySparkster

BNB