以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 幣贏 > Info

?More than Re-entrancy : Revest Finance 被攻擊事件分析

Author:

Time:1900/1/1 0:00:00

DeFi項目RevestFinance遭到黑客攻擊,損失約200萬美元。BlockSecTeam團隊第一時間介入分析,并在tweeter上向社區分享了我們的分析成果。事實上,就在我們通過tweeter向社區分享我們的分析成果時,我們發現了RevestFinance的TokenVault合約中還存在著一個criticalzero-dayvulnerability。利用該漏洞,攻擊者可以用更加簡單的方式盜取協議中的資產。于是我們立刻聯系了RevestFinance項目方。在確定該漏洞已經被修復后,我們決定向社區分享這篇blog。

RevestFinance是針對DeFi領域中staking的解決方案,用戶通過RevestFinance參與的任何DeFi的staking,都可以直接生成一個NFT,即FNFT(FinanceNon-FungibleToken),該NFT代表了這個staking倉位的當前以及未來價值。用戶可以通過RevestFinance提供的3個接口和項目進行交互。質押自己的數字資產,mint出相應的FNFT。

?mintTimeLock:用戶質押的數字資產在一段時間之后才能被解鎖。

?mintValueLock:用戶質押的數字資產只有在升值或者貶值到預設數值才能被解鎖。

?mintAddressLock:用戶質押的數字資產只能被預設的賬戶解鎖。

RevestFinance通過以下3個智能合約完成對用戶存入的數字資產的鎖定和解鎖。

?FNFTHandler:繼承自ERC-1155token(openzepplin實現)。每次執行lock操作時,fnftId會進行自增(fnftId類似于ERC721中的tokenId)。FNFT在被創建時,用戶需要指定它的totalSupply。當用戶想要提走FNFT背后的underlyingasset,需要burn掉相應比例的FNTF。

DCG與Genesis債權人達成初步協議,預計債權人可回收70%-90%資產:8月29日消息,DCG已與Genesis的債權人達成初步協議,以解決Genesis破產案中提出的索賠問題。該計劃可能使得無擔保債權人能夠獲得相當于70%至90%美元價值的回收款項,并且根據數字資產面額不同,在種類方面可以實現65%至90%的回收。所有估計回收金額均受市場定價和明確文件約束。[2023/8/29 13:03:45]

?LockManage:記錄FNFT被解鎖(unlock)的條件。

?TokenVault:接收和發送用戶存入的underlyingasset,并記錄每一種FNFT的metadata。例如fnftId=1的FNFT背后質押的資產類型。

因為此次攻擊,黑客攻擊的入口是mintAddressLock函數,那么我們以該函數為例,講述FNFT的生命周期。

UserA調用Revest的mintAddressLock函數

?unlocker:UserX->只有UserX可以解鎖這筆資產?recipients:??quantities:->mint數量為100(sum(quantities)),UserA,UserB,UserC各擁有50,25,25枚。?asset:WETH->mint出的FNFT以WETH為抵押品。?depositAmount:1e18->每一枚FNFT背后的抵押品數量為1枚WETH(WETHdecimal為18)

假設當前系統中沒有其他FNFT,UserA通過mintAddressLock與系統進行交互,FNFTHandler返回的fnftId=1?

Bitcoin Depot第二季度收入同比增長18%:金色財經報道,比特幣ATM運營商Bitcoin Depot表示,該公司最近在納斯達克上市后希望擴大業務,因此在2023年第二季度公布了有史以來最好的收入數據。Bitcoin Depot公布的第二季度業績與多家加密貨幣生態系統公司一致,季度收入為1.975億美元。該公司指出,這是一個創紀錄的數字,比2022年同期收入增長了18%。

該公司還報告稱,凈虧損610萬美元,同比下降249%。其第二季度利潤為2590萬美元,2023年第二季度毛利率為13%,高于去年同期的8%。[2023/8/15 21:25:00]

LockManger為其添加相應的記錄

?fnftId:1?unlocker:UserX?

TokenVault為其添加相應的記錄

?fnftId:1?asset:WETH?depoistAmount:1e18

接著TokenValut要從UserA這里轉走100*1e18數量的WETH。

最后系統分別給UserA,UserB,UserCmint50,25,25枚01-FNFT。

通過mintAddressLock函數鑄造FNFT就完成了。

當UserX解鎖01-FNFT后,用戶B便可以通過withdrawFNFT提走underlyingasset。如圖二所示,UserB想要提取自己手中持有的25個01-FNFT質押的數字資產。

英國第四大報發行英國查爾斯國王加冕 NFT:金色財經報道,《倫敦旗幟晚報》(The Evening Standard )宣布發行英國查爾斯國王加冕 NFT,該 NFT 系列目前在 NFT 市場 Nifty Gateway 上免費提供,用戶只需提供電子郵件地址即可注冊和申領,但尚不清楚用戶是否需要支付交易費才能收到 NFT。《倫敦旗幟晚報》是 2020 年英國發行量第四大日報,僅次于《The Metro》、《太陽報》和《每日郵報》。

(cryptoslate)[2023/5/6 14:47:24]

協議首先檢查01-FNTF是否已經unlock,如果已經unlock,那么協議會burn掉UserB的25個01-FNFT,并給他轉25*1e18數量的WETH。此時01-FNFT的totalSupply為75。

Revest合約還提供了另外一個接口,叫做depositAdditionalToFNFT,以便讓用戶為一個已經存在的FNFT添加更多的underlyingasset。下面我們用2張圖描述它的“正常”用法。

這里有三種情況?

一.quantity==01-FNFT.totalSupply()?如圖三所示

以圖二中的場景為上下文,UserA要為01-FNFT添加更多的抵押物。

?quantity=75->為75個01-FNFT追加質押。

?amount=0.5*1e18->每一枚01-FNFT追加0.5*1e18數量的WETH。

韓國檢方將Terra聯創Daniel Shin等涉案人員移交審判:4月25日消息,據韓國檢方將Terraform Labs聯合創始人、Chai Corporation前首席執行官Daniel Shin等涉案人員移交審判。這是檢方在對Terra-Luna崩盤事件調查一年后,首次對相關案件作出初步結論。

韓國首爾南部地方檢察廳金融證券犯罪聯合調查組當天以《資本市場法》中欺詐性不正當交易等嫌疑,對Daniel Shin等Terra項目相關的8名管理人員和普通職員進行了不拘留起訴。檢察官在起訴書中稱,他們在2019年4月至2020年 5月期間鑄造了“投資合同證券”Luna代幣,但并在沒有提交證券報告的情況下將其分發并出售給投資者。

Daniel Shin被指控的罪名包括:違反資本市場法(不正當交易、違反公募規定、無牌銷售)、 違反特定經濟犯罪法(欺詐、背信、挪用公款)、違反特定金融交易信息法、違反電子金融交易法、偽造收據、瀆職和商業背信。(Newsis)[2023/4/25 14:25:27]

于是UserA需要向TokenVault轉入37.5*1e18WETHTokenVault修改系統記賬,將depositAmount修改為1.5*1e18。現在每一枚01-FNFT承載的資產為1.5*1e18WETH。

此時UserC調用withdrawFNFT,burn掉他持有的25枚01-FNFT,他可以拿走25*(1.5*1e18)=37.5*1e18WETH。

于是,此時01-FNFT的totalSupply為50。

Binance Custody現已更名為Ceffu:2月9日消息,Binance旗下托管服務Binance Custody現已更名為Ceffu,該名稱的靈感起源于社區常用詞SAFU(Secure Asset Fund for Users)。

Ceffu表示,更名不會影響客戶已經獲得的任何服務,也不會影響用戶體驗及產品。Ceffu將繼續開發和提供獨立解決方案,如隔離冷存儲、本地質押以及獨立托管服務等等。[2023/2/9 11:57:33]

二.quantity<01-FNFT.totalSupply()?如圖四所示?

以圖三中的場景為上下文,UserA繼續為01-FNFT添加更多的抵押物。

?quantity=10->為10枚01-FNFT追加質押。?amount=0.5*1e18->為10枚01-FNFT每一枚追加0.5*1e18WETH

由于quantity<01-FNFT.totalSupply()于是,UserA向協議支付5*1e18WETH系統將會burn掉10枚01-FNFT,mint出10枚02-FNFT,并將burn掉的10枚01-FNFT承載的資產和UserA新轉入的資產,注入到02-FNFT中。于是就有

?fnftId:2?asset:WETH?depositAmount:2.0*1e18(1.5*1e180.5*1e18)?

此時?

?01-FNFT.totalSupply:4001-FNFT.depositAmount:1.5*1e18?02-FNFT.totalSupply:1002-FNFT.depositAmount:2.0*1e18

三.quantity>01-FNFT.totalSupply()

這種情況,交易會revert。

在理解了mintAddressLock函數和depositAdditionalToFNFT函數的基本工作流程后,來看一下攻擊者使用的重入手法。?假定thelastestfnftId=1

如圖五所示第一步:攻擊者調用mintAddressLock函數?

?depositAmount=0?

?quantities=?

mint出了2枚01-FNFT,由于攻擊者將depositAmount設置為0,因此他沒有轉入任何數字資產。相當于01-FNFT背后承載的underlyingasset為0。

第二步:攻擊者再次調用mintAddressLock函數?

?depositAmount=0

?quantities=準備mint36w枚02-FNFTdepositAmount為0。

在mint的最后一步,攻擊者利用ERC-1155的call-back機制重入了depositAdditionalToFNFT函數。

在depositAdditionalToFNFT中,攻擊者傳入?

?quantity=1

?amount=1*1e18

?fnftId=1?

因為quantity<fntfId.totalSupply(),因此協議會burn掉攻擊者1枚01-FNFT,鑄造1枚02-FNFT。(02-FNFT在協議中已經存在,但是fnftId更新延遲)然后修改fnftId=2的depositAmount為amount。相信你已經發現,這一步,攻擊者通過重入將fnftId=2的depositAmount從0修改為1.0*1e18,僅僅花費1*1e18RENA就獲得了(3600001)*1*1e18RENA的系統記賬。

最后攻擊者調用withdrawNFNFT函數,burn掉360,001枚02-FNFT,取走了360,001*1e18RENA。

當用戶調用depositAdditionToNFT函數追加抵押物時,該函數會改變FNFT的depositAmount。從代碼中我們可以發現,當newFNFTId!=0時,該函數既改變了fnftId對應的FNFT的depositAmount也改變了newFNFTId對應的depositAmount。?

按照常理,當newFNFTId!=0時,系統應該只記錄newNFTId對應的depositAmount。不應該改變fnftId對應的depositAmount。?

我們認為這是一個非常嚴重的邏輯bug,利用該漏洞,攻擊者可以很輕松提走系統中的數字資產。下面用3張圖描述模擬攻擊的原理。假定thelatestfnftId=1?

首先攻擊者調用mintAddressLock函數,mint出360000個01-FNFT。攻擊者將amount設置為0因此他不必轉入任何資產到RevestFinance協議中。mint結束后,攻擊者擁有360000枚depositAmount=0的01-FNFT。

然后攻擊者調用depositAdditionalToFNFT函數,參數如下

?fnftId=1

?amount=1*1e18

?quantity=1

協議轉走攻擊者amount*quantity數量的代幣,即1*1e18RENA協議會burn掉攻擊者1枚01-FNFT,并為其鑄造一枚02-FNFT按照handleMultipleDeposits函數中的邏輯,fnftId=2的資產,其depositAmount會被設置為1.0*1e18。但是fnftId=1的資產,其depositAmount也會被設置為1.0*1e18,而這個值本應該為0!

第三步,攻擊者直接提款,將手中所有的01-FNFT提現。不考慮gas費,他將凈賺359,999*1e18數量的REAN代幣。?

很顯然,使用這種方式進行攻擊,比真實的重入攻擊更加簡單直接。

3.項目方的修復方式

由于TokenVault?and?FNFTHandler?兩個漏洞合約存儲了許多關鍵的狀態,無法在短時間內重新部署它們,為了快速恢復使用,RevestFinance官方重新部署了Revest?合約(https://etherscan.io/address/0x36c2732f1b2ed69cf17133ab01f2876b614a2f27#code)的精簡版本。該版本關閉了大部分復雜的功能,以避免被進一步攻擊。項目方將在未來遷移狀態并重新部署修復過的合約。

安全性不是一件容易的事情。除了代碼審計,我們認為社區應該采取更加主動的方式,例如項目監控預警、甚至是攻擊阻斷使得DeFi社區更加安全。(https://mp.weixin.qq.com/s/o41Da2PJtu7LEcam9eyCeQ).參考文獻

*:https://blocksecteam.medium.com/revest-finance-vulnerabilities-more-than-re-entrancy-1609957b742f

Tags:NFTFNFDEPODEPKONGZ Vault (NFTX)FNF價格DEPE

幣贏
OIN:Coinbase NFT市場Beta版本上線,我們需要了解些什么?

全球領先Crypto交易公司Coinbase推出了正在測試階段的NFT市場。官方表明,任何用戶都可以訪問該市場,探索基于以太坊的NFT,但只有少數參與測試的人員可以買賣數字資產.

1900/1/1 0:00:00
NFT:盤中寶——比特幣上攻乏力,Web3 人才薪資結構中的代幣價值

IMF對全球經濟增速目標做出了新冠疫情頭爆發之初幾個月來最大幅度的下調,并提高了其通脹預測。IMF一位高級官員表示,全球股市和債市面臨拋售風險,因為包括美聯儲在內的央行為了抑制通貨膨脹,可能被迫.

1900/1/1 0:00:00
SDT:每日行情解讀 | BTC上方承壓,后市趨于寬幅震蕩

受地緣局勢緊張影響,BTC短線走強,但多頭上方承壓,后市預計維持震蕩。另外,美聯儲官員進一步釋放鷹派言論,空頭力量走強。從鏈上數據看,BTC巨鯨地址數出現回落,礦工拋壓也在快速放大.

1900/1/1 0:00:00
加密貨幣:TITANCE鈦安推出全新加密貨幣交易APP

香港2022年1月10日/美通社/--加密貨幣的交易量再創新高,為提供更高穩定性、安全性及用戶界面友好的交易平臺,最近加密貨幣交易商TITANCE鈦安,宣布將會推出全新加密貨幣交易APP.

1900/1/1 0:00:00
IMP:BKEX 關于上線 IMPACTXP(ImpactXP)并開放充值功能的公告

尊敬的用戶:?????????BKEX即將上線IMPACTXP,詳情如下:上線交易對:IMPACTXP/USDT??幣種類型:ERC20充值功能開放時間:已開放交易功能開放時間:2022年4月2.

1900/1/1 0:00:00
區塊鏈:深度解析元宇宙落地的九宮格框架:從What到How

原文來源:?國盛區塊鏈研究院產業交流中,我們發現元宇宙的概念已初步普及,更多的企業在思考:我們如何依托自身資源參與這場全新的變革?虛實之間,如何布局?本文我們提出“九宮格”框架.

1900/1/1 0:00:00
ads