以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 幣贏 > Info

ANC:損失約820萬美元,Visor Finance遭黑客攻擊事件全解析

Author:

Time:1900/1/1 0:00:00

12月21日,鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,UniswapV3流動性管理協議VisorFinance于北京時間12月21日晚上10點18分遭受攻擊,總損失約為820萬美元。關于本次攻擊,成都鏈安技術團隊第一時間進行了事件分析。

#1事件概覽

2021年12月21日晚VisorFinance官方Twiiter發布通告稱vVISR質押合約存在漏洞,發文前已有攻擊交易上鏈。

經過成都鏈安技術團隊分析,攻擊者通過惡意合約利用VisorFinance項目的漏洞,偽造了向VisorFinance的抵押挖礦合約(0xc9f27a50f82571c1c8423a42970613b8dbda14ef)存入2億代幣的交易,從而獲取了195,249,950vVISR抵押憑證代幣。然后再利用抵押憑證,從抵押挖礦合約中取出了8,812,958VISR。

持有WLD代幣的Optimism鏈上錢包數量突破30萬個:金色財經報道,據Dune Analytics數據顯示,持有WLD代幣的Optimism鏈上錢包數量已突破30萬個,本文撰寫時達到304,808個。此外,去除尚未遷移到Optimism的預發布錢包,當前WorldApp錢包數量已達到981,461個。[2023/7/30 16:07:13]

#2事件具體分析

攻擊交易為:

https://etherscan.io/tx/0x69272d8c84d67d1da2f6425b339192fa472898dce936f24818fda415c1c1ff3f

孫宇晨:波場TRON主網啟動5年來成就斐然,肩負全新使命再出發:據官方消息,6月25日,波場TRON創始人、火必Huobi全球顧問委員會成員孫宇晨發布推文慶祝波場TRON 5周年獨立日,孫宇晨表示,作為波場TRON的創始人,在這個特殊的日子里,他由衷感謝大家的一路相伴和支持。“讓我們一同共創未來,我們的故事才剛剛開始。”孫宇晨說。

孫宇晨在推文附帶的慶祝視頻中表示,“過去5年,我們一直致力于推動互聯網去中心化。如今我們又有了建設元宇宙金融自由港的全新使命。在此過程中,我們不斷加快國際化與合規化的腳步,積極推動生態繁榮發展,布局行業各類賽道,并在教育、環保、人工智能等領域長期落實工作。我們構建了一套成熟的由公鏈、交易所和穩定幣組成的基礎設施,充分服務于社區每一個用戶。我們可以自豪的說,我們一直熱愛并忠于這份事業。”

此外,孫宇晨直言,用戶的信任是波場TRON最核心的競爭力。他希望在未來攜手全球80億人,共同實現金融自由。[2023/6/25 21:59:16]

攻擊手法大致如下:

過去24小時全網爆倉5754.96萬美元:金色財經報道,數據顯示,過去24小時全網爆倉5754.96萬美元,其中比特幣爆倉834.57萬美元,以太坊爆倉1541萬美元。[2023/4/17 14:07:31]

1.部署攻擊合約

0x10c509aa9ab291c76c45414e7cdbd375e1d5ace8;

2.通過攻擊合約調用VisorFinance項目的抵押挖礦合約deposit函數,并指定存入代幣數量visrDeposit為1億枚,from為攻擊合約,to為攻擊者地址

巴克萊金融科技中心Rise舉行CBDC黑客馬拉松:金色財經報道,巴克萊銀行的金融科技中心Rise舉行了為期兩天的CBDC黑客馬拉松比賽,9個團隊嘗試了6項關鍵挑戰。歐洲中央銀行(ECB)和英格蘭銀行(BoE)有專門的工作小組探索其中的機會和風險,并起草和公布了一些設計選擇。

黑客馬拉松要求參與者連接到巴克萊銀行的中央銀行、支付接口供應商(PIPs)、商業銀行和其他生態系統服務的模擬。這個模擬是基于英格蘭銀行(BoE)為英國零售CBDC提供的平臺模型。這些團隊代表了一系列的參與者,包括IBM、勞埃德銀行集團、萬事達卡、Industria、REGnosys、Rethink Ledgers、UST、SDK.finance和巴克萊銀行(巴克萊銀行沒有資格獲得名額)。

這些團隊利用各種技術將他們的解決方案變為現實,如Corda、Ethereum、Java、數字資產建模語言(DAML)和其他技術。(finextra)[2022/10/1 18:36:37]

0x8efab89b497b887cdaa2fb08ff71e4b3827774b2;

3.在第53行,計算出抵押憑證shares的數量為97,624,975vVISR.

4.由于from是攻擊合約,deposit函數執行第56-59行的if分支,并調用攻擊合約的指定函數;

第57行,調用攻擊合約的owner函數,攻擊合約只要設置返回值為攻擊合約地址,就能夠通過第57行的檢查;

第58行,調用攻擊合約的delegatedTransferERC20函數,這里攻擊合約進行了重入,再次調用抵押挖礦合約的deposit函數,參數不變,因此抵押挖礦合約再次執行第3步的過程;

第二次執行到第58行時,攻擊合約直接不做任何操作;

5.由于重入,抵押挖礦合約向攻擊者發放了兩次數量為97,624,975vVISR的抵押憑證,總共的抵押憑據數量為195,249,950vVISR。

6.提現

攻擊者通過一筆withdraw交易

,將195,249,950vVISR兌換為8,812,958VISR,當時抵押挖礦合約中共有9,219,200VISR。

7.通過UniswapV2,攻擊者將5,200,000VISR兌換為了WETH,兌換操作將UniswapV2中ETH/VISR交易對的ETH流動性幾乎全部兌空,隨后攻擊者將獲得的133ETH發送到Tornado。

#3事件復盤

本次攻擊利用了VisorFinance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:

1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,并接管了抵押挖礦合約的執行流程;<-主要漏洞,造成本次攻擊的根本原因。

2.函數未做防重入攻擊;<-次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。

針對這兩個問題,成都鏈安在此建議開發者應做好下面兩方面防護措施:

1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;

2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。

Tags:ISRVISRFINANCISR幣VISR價格Infinity CakeNobo Finance

幣贏
SEC:3H互鏈,如何成功藉由互助模式改寫元宇宙未來發展應用?

3H互鏈,如何成功藉由互助模式改寫元宇宙Metaverse未來發展應用!?元宇宙絕對是當今會火紅的詞匯之一,在未來成也將分展成獨特經濟模式,涵蓋工作和娛樂休閑,發展已久的各種產業和市場.

1900/1/1 0:00:00
NFT:用最小的風險賺最大的利潤 Defi 進階玩法 :Defi 期權策略

期權產品現在在DeFi用戶中越來越受歡迎。它為投資者提供了一種獨特的獲益方式,其風險敞口與流動性挖礦或質押有所不同,它有獲得期權溢價的機會,而不必直接處理期權.

1900/1/1 0:00:00
穩定幣:公開信 | 孫宇晨就贏得貝索斯藍色起源太空之旅的公開信

孫宇晨就贏得貝索斯藍色起源太空之旅的公開信各位波場人,關心波場發展的朋友:我很高興地向大家宣布,我在今年六月份以創紀錄的兩千八百萬美金成功贏得世界首富貝索斯的藍色起源太空之旅,我將于2022年.

1900/1/1 0:00:00
ETH:DAO 行業進展(雙周報) 12月上旬

DAO行業進展雙周報——11月27日至12月11日 速覽: l?BadgerDAO面臨用戶界面漏洞的損失。Badger已經開始了圍繞治理和可收回資產報酬的RFF進程.

1900/1/1 0:00:00
NFT:金色Web3.0日報 | NFT游戲項目DOGAMí完成600萬美元融資

DeFi數據 1.DeFi代幣總市值:1523.40億美元DeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:56.

1900/1/1 0:00:00
NFT:當硅谷巨頭仍猶豫不決時,它們的員工正大范圍奔向加密行業

原文標題:《TheNewGet-Rich-FasterJobinSiliconValley:CryptoStart-Ups》作者:DaisukeWakabayashi.

1900/1/1 0:00:00
ads