2022年3月27日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi協議RevestFinance遭到黑客攻擊,損失約12萬美元。
據悉,RevestFinance是針對DeFi領域的staking的解決方案,用戶通過RevestFinance參與任何DeFi的staking,都可以直接創建生成一個NFT。
在攻擊發生之后,項目方官方發推表示他們以太坊合約遭受了攻擊,目前已采取措施確保所有鏈中的剩余資金安全。
Unibot:UNIBOT錢包新增ERC-20代幣轉移功能:金色財經報道,Unibot宣布現已可以將ERC-20代幣轉入或轉出UNIBOT錢包。使用/menu重新啟動機器人,將看到新的“轉移代幣”按鈕。[2023/8/7 21:28:26]
成都鏈安技術團隊對此事件進行了相關簡析。
1分析如下
地址列表
Token合約:
Perceptron Capital、PrimeDAO和Defi Chad在dHEDGE推出資產池:資產管理協議dHEDGE發推稱,Perceptron Capital、PrimeDAO和Defi Chad分別在dHEDGE推出資產池, dHEDGE DAO均投資20000 sUSD。這些資產池都支持使用Fox Swap。[2021/3/27 19:23:10]
0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76
被攻擊合約:
0x2320a28f52334d62622cc2eafa15de55f9987ed9
動態 | 以太坊混幣平臺Tornado.cash新版上線,將支持ERC20代幣:以太坊混幣平臺Tornado.cash宣布新版上線,該版本支持ERC20代幣,首個添加的代幣 DAI,即將支持 USDT 和 USDC。該版本支持更高的存款限額,1 ETH 和 10 ETH,伊斯坦布爾分叉后其提款交易費將從 750k 降至 300k。為了推進更加去中心化,Tornado 還添加了對自定義中繼器地址的支持。同時,通過將 Merkle 樹的深度增至 20,將 Tornado.cash 智能合約的容量從 6.4 萬提升到 100 萬,這確保該合約地址不會馬上被填滿了,同時也導致更高的 gas 成本。當前更新尚未包含可信設置 MPC (多方安全計算),但是允許更新驗證密鑰,而無需重新部署智能合約。[2019/12/18]
攻擊合約:
聲音 | Craig Wright:ERC-20是“死路一條”:自稱是“幣特幣創始人“的Craig Wright在其社交媒體發表觀點稱,ERC-20是“死路一條”。Craig Wright對法律監管表示擔憂,并且很快就會有交易所禁止這些加密貨幣,不包括比特幣。[2018/7/18]
0xb480Ac726528D1c195cD3bb32F19C92E8d928519
攻擊者:
0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B
交易截圖
首先攻擊者通過uniswapV2call2次調用受攻擊的目標合約中的mintAddressLock函數。
該mintAddressLock函數用于查詢并向目標鑄造NFT,并且nextid會在鑄造NFT后進行更新。
攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備,隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token,在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數,由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新,此時的nextId仍然為1028,并且合約并未驗證1028的Token數量是否為0,因此攻擊者再次成功地鑄造了1個ID為1031的Token,完成了攻擊。
2?總結建議
此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計,且未考慮到ERC1155token轉賬重入的可能性。
建議在合約設計時嚴格按照檢查-生效-交互模式設計,并在ERC1155token相關DeFi項目中加入防重入的功能。
截止目前為止,攻擊者仍然未將資產進行轉移,成都鏈安將持續進行監控。
攻擊者地址:
https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58
Tags:TOKKENTOKETOKENWarlord TokenSamoyed Fan TokenLife Tokenimtoken怎么買TRX能量教程
??內容目錄 NFT核心三要素:設計、規則、權益產品&設計:網站產品、網站設計技術:前端、合約、后端、測試、審計、運維運營:Discord運營、Twitter運營、其他社群/媒體運營市場.
1900/1/1 0:00:00波卡為了使得其網絡能夠保持良好且持續的運行,創建了符合自身以及用戶需求的治理機制,利用區塊鏈技術的特點,來實現專業有效的社區治理.
1900/1/1 0:00:0012:00-21:00關鍵詞:Bakkt、匯豐、證券型代幣、ProShares1.美國銀行與Bakkt達成合作.
1900/1/1 0:00:005大要點: MIM-UST套利策略已在過去四個月中產生超過1.13億美元的利潤。本質上是一種無需資本投資的閃電貸的高級形式,僅支付gas費用就可以獲得650倍的回報,并且無需像三明治套利那樣需要.
1900/1/1 0:00:00后疫情時期是時尚界數字化轉型高速時期,品牌渴望通過跨界游戲、3D時裝、虛擬模特、線上時裝周等形式,與新一代消費者建立更緊密的聯系。同時“虛擬服裝”也成為了時尚業界最熱門的風口.
1900/1/1 0:00:00去年,零知識證明(ZKP)在加密領域和Web3中扮演了重要角色,它在可擴展性和用戶許可隱私方面都發揮著重要作用.
1900/1/1 0:00:00