成都鏈安：Visor Finance遭受攻擊事件分析_FINA

據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，VisorFinance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析，本次攻擊利用了VisorFinance項目抵押挖礦合約RewardsHypervisor的兩個漏洞：

成都鏈安：Visor Finance遭受攻擊事件分析:據成都鏈安監測顯示，Visor Finance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析，本次攻擊利用了Visor Finance項目抵押挖礦合約RewardsHypervisor的兩個漏洞：

1.call調用未對目標合約進行限制，攻擊者可以調用任意合約，并接管了抵押挖礦合約的執行流程；<- 主要漏洞，造成本次攻擊的根本原因。2.函數未做防重入攻擊；<- 次要漏洞，導致了抵押憑證數量計算錯誤，不是本次攻擊的主要利用點，不過也可憑此漏洞單獨發起攻擊。針對這兩個問題，成都鏈安在此建議項目方應做好下面兩方面：1.進行外部合約調用時，建議增加白名單，禁止任意的合約調用，特別是能夠控制合約執行流程的關鍵合約調用；2.函數做好防重入，推薦使用openzeppelin的ReentrancyGuard合約。[2021/12/22 7:55:18]

1.call調用未對目標合約進行限制，攻擊者可以調用任意合約，并接管了抵押挖礦合約的執行流程；<-主要漏洞，造成本次攻擊的根本原因。

仙人掌CTS智能合約已通過Beosin(成都鏈安）安全審計:據官方消息，Beosin（成都鏈安）近日已完成仙人掌CTS智能合約項目的安全審計服務。

?仙人掌CTS是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合跨鏈，同時包含去中心化穩定數字貨幣，去中心化預言機，去中心化保險，流動性挖礦，智能挖礦等等功能的創新和聚合，進而打造全面的去中心化金融平臺。仙人掌CTS代幣無ICO、零預挖且零私募，社區高度自治。仙人掌CTS將會在9月28日晚20點上線Justswap,并開啟流動性挖礦。

合約地址：TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s

審計報告編號：202009262149[2020/9/28]

2.函數未做防重入攻擊；<-次要漏洞，導致了抵押憑證數量計算錯誤，不是本次攻擊的主要利用點，不過也可憑此漏洞單獨發起攻擊。

分析 | 成都鏈安：錢包Safuwallet服務器是否存儲了用戶的私鑰是關鍵:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事，成都鏈安在接受金色財經采訪時指出：“safuwallet是第三方extension插件錢包，用戶資產被盜，主要原因還是私鑰被盜，發生了這樣的問題，對于錢包服務器而言只要不存儲用戶的私鑰，只做相關交易數據的處理的話，兩者之間就沒有關系，如果服務器存儲了用戶的私鑰，那黑客就有可能通過攻擊服務器獲取到用戶的私鑰。推特消息稱是safuwallet被注入了惡意代碼，黑客可能先將惡意代碼注入到safuwallet中，然后引誘受害者安裝錢包，再獲取到受害者的私鑰后，進行相關代幣的轉移。事實上，對于非官方錢包，安全性確實不太好保障。對于此類錢包，私鑰被盜的時間時有發生。對于這個事件，后續的影響主要是用戶的損失、錢包和交易所的聲譽。”[2019/10/12]

針對這兩個問題，成都鏈安建議項目方應做好下面兩方面：

1.進行外部合約調用時，建議增加白名單，禁止任意的合約調用，特別是能夠控制合約執行流程的關鍵合約調用；

2.函數做好防重入，推薦使用openzeppelin的ReentrancyGuard合約。

此前消息稱，流動性管理協議VisorFinance遭黑客攻擊，損失約820萬美元。BentFinance官方表示，攻擊者盜取51.3萬cvxcrvLP代幣，建議所有用戶現在撤回其MIMLP。Bent上的cvxcrv和mimCurve池是受影響的池，已禁用cvxcrv和mim池的獎勵申領。

Tags：ANCVisorSORFINASupreme FinanceGastroAdvisorSOR幣Aroma Finance

BNB