比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

ERC1155的重入攻擊又“現身”:Revest Finance被攻擊事件簡析_TOK

Author:

Time:1900/1/1 0:00:00

2022年3月27日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi協議Revest Finance遭到黑客攻擊,損失約12萬美元。

據悉,Revest Finance是針對DeFi領域的staking的解決方案,用戶通過Revest Finance參與任何DeFi的staking,都可以直接創建生成一個NFT(該NFT包含了這個staking倉位的當前以及未來價值)。

在攻擊發生之后,項目方官方發推表示他們以太坊合約遭受了攻擊,目前已采取措施確保所有鏈中的剩余資金安全。

Boson Protocol宣布World Mobile成為dCommerce生態系統合作伙伴:據官方消息,去中心化協議Boson Protocol宣布,區塊鏈移動網絡World Mobile將成為dCommerce生態系統的合作伙伴。World Mobile和Boson Protocol將圍繞為World Mobile網絡用戶提供一個dCommerce市場展開合作,以降低電子商務中介帶來的成本和摩擦,使購買和銷售變得更加實惠、安全并對用戶有利。[2021/6/4 23:12:16]

成都鏈安技術團隊對此事件進行了相關簡析。

YstarPool開放特別池 質押YSR(erc20)即可挖YF:官方消息,YstarPool3-3池已正式開啟。據悉,此次YstarPool一改往日的流動性挖礦模式,該池質押YSR(erc20)即可挖YF,共挖500枚,每3.5天減半,35天挖完。

YstarPool是Ystar在Uniswap上推出的流動性質押挖礦活動,是Ystar金融生態的重要一環。Ystar金融生態以Bingoo為核心,致力于打造DeFi 3.0世界的頭部產品聚合器,指數級加速數字資產流動。目前YstarPool的治理代幣YF已經登陸COCOCoin、NVEX、ZBG三大交易所并開啟交易。[2020/10/13]

地址列表

動態 | USDC為較多投資人接受 居ERC20代幣活躍地址數前列:據TokenGazer數據分析顯示,2月19日ERC20代幣中活躍地址數排名前五的代幣是:USDC、ZRX、NPXS、OMG、TUSD。其中,USDC活躍地址數保持穩定。目前穩定幣板塊USDT依然保持著較大的市場占有率,但其法幣資產賬戶的不透明性一直為人詬病。在這種情況下,USDC憑借定時、透明的獨立第三方審計確保自身美元儲備的可見性而獲得更多投資人的青睞。目前,USDC已被較多主流交易所接納承認。[2019/2/20]

Token合約:

0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76

動態 | Poloniex將在分叉前1小時暫停ETH、USDC和ERC-20錢包的存取款業務:1月15日,Poloniex官方推特表示,將在以太坊君士坦丁堡分叉前大約一個小時暫停ETH、USDC和所有其他ERC-20錢包的存取款業務,并在分叉完成后立即重新啟用。會在硬分叉當天宣布具體的暫停時間。[2019/1/15]

被攻擊合約:

0x2320a28f52334d62622cc2eafa15de55f9987ed9

0xb480Ac726528D1c195cD3bb32F19C92E8d928519

攻擊者:

0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

交易截圖

首先攻擊者通過uniswapV2call 2次調用受攻擊的目標合約中的mintAddressLock函數。

該mintAddressLock函數用于查詢并向目標鑄造NFT,并且nextid(FNFTHandler.fnftsCreated)會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備,隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token,在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數[ERC1155 onERC1155Received 重入],由于NFT nextId(FNFTHandler.fnftsCreated)在mint函數鑄造NFT完成并通知后進行更新,此時的nextId仍然為1028,并且合約并未驗證1028的Token數量是否為0,因此攻擊者再次成功地鑄造了1個ID 為1031的Token,完成了攻擊。

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計,且未考慮到ERC1155 token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計,并在ERC1155 token相關DeFi項目中加入防重入的功能。

截止目前為止,攻擊者仍然未將資產進行轉移,成都鏈安將持續進行監控。

攻擊者地址:

https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58

Tags:NFTSTAUSDTOKNFTSSTARINUusdc幣是什么幣Beach Token

加密貨幣
金色觀察|MetaMask Flask:web3開發者需要的試驗場_ETA

MetaMask目前是加密貨幣領域用戶最多的錢包,也是web3世界最集中的入口,但如果MetaMask只擁有錢包的功能,遠不能滿足web3世界里各個網絡的需求.

1900/1/1 0:00:00
Bilibili的元宇宙布局_COIN

元宇宙近期在企業層面受到關注,國內外多家公司紛紛入局。其中,“All In”元宇宙被視為下一個增長點;微軟、英偉達、Unity等公司希望成為元宇宙的基礎建設者;騰訊希望從游戲入手,開拓元宇宙市場.

1900/1/1 0:00:00
UST宣戰DAI 新的Curve War一觸即發?_POOL

4 月 2 日,Terraform Labs 成員 Ezaan 于社區提出新提案,建議引入穩定幣流動性的新“黃金標準”4pool.

1900/1/1 0:00:00
晚間必讀5篇 | 誰是中國元宇宙第一城?_BTC

1.a16z:我們為什么投資LayerZero北京時間2022年3月31日,LayerZero Labs宣布完成1.35億美元A+輪融資,a16z、FTX Ventures、紅杉資本共同領投.

1900/1/1 0:00:00
華爾街日報:加密貨幣正在慢慢滲透領域_SEC

加密貨幣持續備受行業關注,各國相互較勁之余也偷偷的加大對加密貨幣使用用途的延展和開放;如同薩爾瓦多一般小心試水的國度都在暗中蠢蠢欲動,加密貨幣作為一種去中心化產物.

1900/1/1 0:00:00
The Sandbox:開放意味著對性別的包容_SAN

“性別方面的數據差異不僅僅源于人們長久以來對女性的漠視。這些漠視和差異還產生了重要的后果。”卡羅琳·克里亞多·佩雷斯在其《被忽視的女性》一書中表達.

1900/1/1 0:00:00
ads