以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > AVAX > Info

TOKEN:老調重彈,ERC1155的重入攻擊又“現身”,Revest Finance被攻擊事件簡析-ODAILY

Author:

Time:1900/1/1 0:00:00

2022年3月27日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi協議RevestFinance遭到黑客攻擊,損失約12萬美元。

據悉,RevestFinance是針對DeFi領域的staking的解決方案,用戶通過RevestFinance參與任何DeFi的staking,都可以直接創建生成一個NFT。

在攻擊發生之后,項目方官方發推表示他們以太坊合約遭受了攻擊,目前已采取措施確保所有鏈中的剩余資金安全。

成都鏈安技術團隊對此事件進行了相關簡析。

#1分析如下

Bitget將于今日上線SUI 1-50倍U本位永續合約:5月4日消息,Bitget將于今日上線SUI 1-50倍U本位永續合約,現貨杠桿新增SUI/USDT交易對,全倉5X以及逐倉3X均已開放。[2023/5/4 14:42:28]

地址列表

Token合約:0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76被攻擊合約:0x2320a28f52334d62622cc2eafa15de55f9987ed9攻擊合約:0xb480Ac726528D1c195cD3bb32F19C92E8d928519攻擊者:0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

數據:今年3月以來持有1000枚以上BTC的巨鯨已減少135個:金色財經消息,據OkLink數據顯示,截至目前比特幣鏈上持有1000 枚 BTC的巨鯨地址已縮減至2147個,相比3月21日巨鯨地址歷史高點2282個,4個月減少135 個巨鯨地址。[2022/7/21 2:28:16]

交易截圖

首先攻擊者通過uniswapV2call2次調用受攻擊的目標合約中的mintAddressLock函數。

Polygon上近30日新增1653萬枚NFT,總計發行量達1.19億:5月19日消息,據Polygon NFTScan數據顯示,截止5月19日,Polygon上已經發行1.19億枚NFT,開發者累計部署了11.9萬份NFT資產合約。近30天Polygon上新增了1653萬枚NFT,平均每天新增55萬枚NFT。[2022/5/19 3:27:40]

該mintAddressLock函數用于查詢并向目標鑄造NFT,并且nextid會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備,隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token,在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數,由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新,此時的nextId仍然為1028,并且合約并未驗證1028的Token數量是否為0,因此攻擊者再次成功地鑄造了1個ID為1031的Token,完成了攻擊。

#2總結建議

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計,且未考慮到ERC1155token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計,并在ERC1155token相關DeFi項目中加入防重入的功能。

截止目前為止,攻擊者仍然未將資產進行轉移,成都鏈安將持續進行監控。

Tags:NFTTOKENKENTOKFYZNFTArowana TokenGro DAO TokenWall Street Decentral Token

AVAX
SAT:AAX支持閃電網絡,提供更快更好的用戶體驗-ODAILY

2022年3月22日,首家使用聰本位(SATs)以推動比特幣應用落地的AAX交易所宣布,即日起將支持閃電網絡,并感謝LightningLabs的技術支持.

1900/1/1 0:00:00
NFT:AAX學院:時尚與NFT如何碰撞出火花?-ODAILY

非同質化代幣(NFT)是加密貨幣世界的主流收藏品,其影響遠遠超越金融領域。盡管當前大多數的NFT僅限于金融和游戲,但它們幾乎在其他行業都有潛在應用。時尚就是最好的例子.

1900/1/1 0:00:00
KUS:波卡生態周報:首個去信任的BTC轉接橋在Kusama上啟動 -ODAILY

波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察。本文旨在提供信息和觀點,不為任何項目作背書.

1900/1/1 0:00:00
TOK:Footprint Analytics:讓你也擁有成為「鉆石手」的能力-ODAILY

Amanda DataSource:Find100xToken區塊鏈世界機會從來不缺機會,從FootprintAnalytics數據上看,單看過去一年.

1900/1/1 0:00:00
CHA:一文讀懂Chainlink的跨鏈兼容性方案-ODAILY

智能合約生態正在朝著多鏈方向發展,區塊鏈的應用不再局限于某一個網絡,而是跨越各個去中心化賬本,共同形成了一個生態。其中每條區塊鏈都有自己獨特的價值主張和技術特點.

1900/1/1 0:00:00
ETH:除了ENS,去中心化域名還有哪些項目值得關注?-ODAILY

Jan.2022,GeorgeDataSource:DecentralizedDomainNames2021年11月,去中心化域名項目ENS發行其項目Token并向社區空投.

1900/1/1 0:00:00
ads