老調重彈，ERC1155的重入攻擊又“現身”，Revest Finance被攻擊事件簡析_UMAMI

2022年3月27日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，DeFi協議RevestFinance遭到黑客攻擊，損失約12萬美元。

據悉，RevestFinance是針對DeFi領域的staking的解決方案，用戶通過RevestFinance參與任何DeFi的staking，都可以直接創建生成一個NFT。

Bernstein：美國SEC收緊對加密貨幣的監管并非是一種存在的威脅:金色財經報道，Bernstein 在周四的一份研究報告中表示，針對 Binance USD (BUSD) 穩定幣及其發行商 Paxos 的監管行動是針對 BUSD 的，不能牽扯到其他加密貨幣，例如USDC。報告稱，業內一些人表示擔心加密貨幣“正積極從銀行系統中撤出，對穩定幣和監管規則發起擊”。

Bernstein 指出，USDC 的發行商 Circle 表示，它沒有收到美國證券交易委員會的任何通知。穩定幣是一種加密貨幣，其價值與另一種資產掛鉤，例如美元或黃金。

此外，報告稱，Layer 2生態系統一直充滿活力，低廉的交易成本推動了采用和新應用程序的部署。[2023/2/17 12:13:30]

在攻擊發生之后，項目方官方發推表示他們以太坊合約遭受了攻擊，目前已采取措施確保所有鏈中的剩余資金安全。

Umami的UMAMI代幣因CEO拋售暴跌，隨后團隊辭職且項目將轉向DAO:金色財經報道，Arbitrum生態DeFi協議Umami在Discord官方公告中表示，其首席執行官Alex O'Donnell（@DefiAlpha）拋售了他的UMAMI代幣。由于創始人的行動，該團隊今天已經從Umami Labs LLC辭職。據稱，該協議的金庫資產是安全的，并在團隊的控制之下。

團隊計劃以DAO結構推進，并按計劃發布收益產品資金池，Umami代幣的功能將與之前承諾的一樣。該團隊還稱，Umami DAO保留了對包括收益產品資金池和前端在內的代碼庫的控制。

Coingecko數據顯示，UMAMI代幣今日最低跌至7.06美元，24小時跌幅達58.4%。[2023/2/9 11:56:54]

成都鏈安技術團隊對此事件進行了相關簡析。

LooksRare原生代幣LOOKS將于2023年1月2日13:00解鎖總供應量的3.75%:12月29日消息，據TokenUnlocks數據，LooksRare原生代幣LOOKS將于2023年1月2日13:00進行一次小額解鎖，解鎖量為3750萬枚LOOKS，占總供應量（10億）的3.75%，約合552萬美元。解鎖的代幣中，包括團隊2500萬枚，財庫1250萬枚。[2022/12/29 22:14:45]

該mintAddressLock函數用于查詢并向目標鑄造NFT，并且nextid會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備，隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token，在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數，由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新，此時的nextId仍然為1028，并且合約并未驗證1028的Token數量是否為0，因此攻擊者再次成功地鑄造了1個ID為1031的Token，完成了攻擊。

#2總結建議

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計，且未考慮到ERC1155token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計，并在ERC1155token相關DeFi項目中加入防重入的功能。

截止目前為止，攻擊者仍然未將資產進行轉移，成都鏈安將持續進行監控。

Tags：UMAMIUMAKENTOKENUMAMI幣UMADMars Ecosystem Tokenushark AI token

比特幣交易