比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

老調重彈,ERC1155的重入攻擊又“現身”,Revest Finance被攻擊事件簡析-ODAILY_KEN

Author:

Time:1900/1/1 0:00:00

2022年3月27日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi協議RevestFinance遭到黑客攻擊,損失約12萬美元。

據悉,RevestFinance是針對DeFi領域的staking的解決方案,用戶通過RevestFinance參與任何DeFi的staking,都可以直接創建生成一個NFT。

在攻擊發生之后,項目方官方發推表示他們以太坊合約遭受了攻擊,目前已采取措施確保所有鏈中的剩余資金安全。

成都鏈安技術團隊對此事件進行了相關簡析。

#1分析如下

MetisDAO:2023年戰略重點為“Web3經濟多層解決方案堆棧”和“生態節點”:1月13日消息,MetisDAO基金會發布2023年戰略規劃,MetisDAO表示兩個關鍵概念為基金戰略重點:一是“Web3經濟的多層解決方案堆棧”,以太坊主網是安全性、去中心化和最終性的基石。MetisSmartL2是EVM等價的執行層,交易速度快,成本低。但是,基礎設施層和應用層之間仍然存在差距。

目前,在支持所有應用程序和整個Web3經濟方面,SmartL2尚未充分發揮其潛力,與所有當前的L2解決方案相同,需要更多的功能和擴展來擴大和加強整個Web3經濟的必要基礎設施。二是“生態節點”,生態節點是整個Metis生態系統的貢獻者,并將成為基金會發展壯大的基礎設施。在過去的一年里,基金會積極與部分生態貢獻者進行孵化合作,支持他們試運行生態節點。

第一批即將啟動的生態節點是:SmartL2、Matrix Reputation Power、DAC Framework、P1X。[2023/1/13 11:10:06]

地址列表

日本金融廳已延長對FTX Japan的業務停止令:金色財經報道,日本金融廳延長了原本定于12月9日到期的FTX Japan業務停止令,因為FTX Japan目前仍無法正常提供存取款服務,退還客戶資金尚需時日。此前11月10日消息,日本金融廳下令FTX Japan暫停運營至12月9日。12月2日消息,FTX Japan發布公告稱,日本客戶資產不受美國破產法約束,擬基于此逐步恢復用戶取款。(日經新聞)[2022/12/7 21:28:13]

Token合約:0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76被攻擊合約:0x2320a28f52334d62622cc2eafa15de55f9987ed9攻擊合約:0xb480Ac726528D1c195cD3bb32F19C92E8d928519攻擊者:0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

Assets Deposit Upgrade疑似遭受黑客攻擊,共造成2225枚BNB損失:10月25日消息,據Supremacy安全團隊監測,Melody SGS項目的Assets Deposit Upgrade合約疑似遭受黑客攻擊,攻擊共造成2225枚BNB損失。

Supremacy表示,由于此次攻擊事件并非是合約層面的漏洞,而是一個涉及鏈下模塊的漏洞,因此初步懷疑是由于項目的鏈下簽名生成模塊存在漏洞,導致攻擊者繞過訪問控制,從而利用API漏洞生成了合法簽名進而提取SGS和SNS。并通過Dex拋售被盜資金,最終獲利2225BNB。[2022/10/25 16:37:52]

交易截圖

首先攻擊者通過uniswapV2call2次調用受攻擊的目標合約中的mintAddressLock函數。

該mintAddressLock函數用于查詢并向目標鑄造NFT,并且nextid會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備,隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token,在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數,由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新,此時的nextId仍然為1028,并且合約并未驗證1028的Token數量是否為0,因此攻擊者再次成功地鑄造了1個ID為1031的Token,完成了攻擊。

#2總結建議

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計,且未考慮到ERC1155token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計,并在ERC1155token相關DeFi項目中加入防重入的功能。

截止目前為止,攻擊者仍然未將資產進行轉移,成都鏈安將持續進行監控。

Tags:KENTOKTOKENTOKETokenBetter PoolGrind TokenBaby Santa Token v2ARTII Token

比特幣最新價格
Alameda Research成為波聯儲首位成員及白名單機構-ODAILY_AME

5月6日,波場聯合儲備宣布AlamedaResearch成為其首位成員及白名單機構,有權鑄造去中心化算法穩定幣USDD。USDD是由數學模型與算法支撐的完全去中心化穩定幣.

1900/1/1 0:00:00
監守自盜Rug Pull再現Day Of Defeat代幣價格跳水94.68%-ODAILY_PUL

北京時間2022年5月6日凌晨3:30,CertiK安全技術團隊監測到DayOfDefeat(DOD)項目代幣價格暴跌94.68%。經CertiK多方面證實,該項目有極高的RugPull風險.

1900/1/1 0:00:00
孫宇晨受邀參與的比特幣紀錄片《Aligning The Future》正式上線-ODAILY_THE

格林納達常駐世界貿易組織代表、特命全權大使、波場TRON創始人孫宇晨先生閣下受邀參與的紀錄片《AligningTheFuture》中英字幕完整版已正式上線.

1900/1/1 0:00:00
Bitfinex 一周簡報(0418-0424)-ODAILY_BIT

Bitfinex行動使用程序已經上線Bitfinex借用功能4月23日消息,Bitfinex行動管理程序已經上線Bitfinex借用功能.

1900/1/1 0:00:00
頂峰課堂經濟術語之滑點-ODAILY_USDT

滑點也被稱為滑價,是指交易預期價格和交易執行價格之間的差異。例如,交易者小A想以40000USDT的價格買入1BTC,下單后最終成交價為40050USDT.

1900/1/1 0:00:00
JZL Capital區塊鏈行業周報第19期-ODAILY_TER

本周摘要: -在期貨交易量下降的同時,永續合約的主導地位正在增強-作為一個成功的商人和愛國者,沃倫·巴菲特詳盡解釋了自己不相信比特幣的原因-NearProtocol和Tron都在開發自己的穩定幣.

1900/1/1 0:00:00
ads