TOKEN:老調重彈，ERC1155的重入攻擊又“現身”，Revest Finance被攻擊事件簡析

2022年3月27日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，DeFi協議RevestFinance遭到黑客攻擊，損失約12萬美元。

據悉，RevestFinance是針對DeFi領域的staking的解決方案，用戶通過RevestFinance參與任何DeFi的staking，都可以直接創建生成一個NFT。

Coincheck與美國特殊目的收購公司的并購交易最后期限被延后一年:金色財經報道，加密貨幣交易所Coincheck與美國特殊目的收購公司的并購交易最后期限被延后一年。[2023/6/1 11:51:02]

在攻擊發生之后，項目方官方發推表示他們以太坊合約遭受了攻擊，目前已采取措施確保所有鏈中的剩余資金安全。

NFT忠誠度解決方案提供商Cohort完成320萬歐元種子輪融資:2月1日消息，總部位于法國巴黎的 NFT 忠誠度解決方案提供商 Cohort 宣布完成 320 萬歐元種子輪融資，IRIS、Axeleo Capital、Kima Ventures 和 3founders 領投，Thibaud Elzière、Quentin Nickmans、Amaury Sepulchre、以及 Guillaume Princen (Stripe)、Brian O'Hagan (Sorare) 等天使投資人參投。[2023/2/1 11:41:21]

成都鏈安技術團隊對此事件進行了相關簡析。

美國國稅局新版納稅指南草案將“虛擬貨幣”更改為“數字資產”，涵蓋NFT等:10月19日消息，美國國稅局發布了2022年度納稅指南草案，將舊類別“虛擬貨幣”替換為更廣泛的“數字資產”新語言，并明確涵蓋NFT等資產。根據指南草案，“數字資產是記錄在加密保護的分布式賬本或任何類似技術上的任何數字價值表示。例如數字資產包括NFT和虛擬貨幣、加密貨幣和穩定幣。”根據最新文件，“如果公民在2022年通過出售、交換、贈與或轉讓的方式處置了任何作為資本資產持有的數字資產”，加密貨幣投資者將必須計算并報告應納稅收入。據悉，前一年美國稅務申報指南中的“虛擬貨幣”部分是數字代幣的狹義定義，“其功能是記賬單位、價值儲存或交易媒介”。最終的稅務指南尚未發布，所以加密貨幣部分在正式發布前仍有可能進行調整。（CoinDesk）[2022/10/19 17:31:50]

該mintAddressLock函數用于查詢并向目標鑄造NFT，并且nextid會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備，隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token，在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數，由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新，此時的nextId仍然為1028，并且合約并未驗證1028的Token數量是否為0，因此攻擊者再次成功地鑄造了1個ID為1031的Token，完成了攻擊。

#2總結建議

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計，且未考慮到ERC1155token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計，并在ERC1155token相關DeFi項目中加入防重入的功能。

截止目前為止，攻擊者仍然未將資產進行轉移，成都鏈安將持續進行監控。

Tags：NFTTOKETOKENTOKAPENFTATTN TokenRBX TokenHypersign Identity Token

SHIB