以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > Polygon > Info

TOKEN:ERC1155的重入攻擊又“現身”:Revest Finance被攻擊事件簡析

Author:

Time:1900/1/1 0:00:00

2022年3月27日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi協議RevestFinance遭到黑客攻擊,損失約12萬美元。

據悉,RevestFinance是針對DeFi領域的staking的解決方案,用戶通過RevestFinance參與任何DeFi的staking,都可以直接創建生成一個NFT。

在攻擊發生之后,項目方官方發推表示他們以太坊合約遭受了攻擊,目前已采取措施確保所有鏈中的剩余資金安全。

Backed Finance推出貝萊德ETF代幣化版本及ERC-20 Token“bCSPX”:金色財經報道,瑞士加密公司Backed Finance宣布推出貝萊德ETF代幣化版本及在以太坊區塊鏈上允許的ERC-20 Token“bCSPX”,該ETF追蹤蘋果、微軟、亞馬遜、Alphabet等美國大公司。據Backed Finance稱,相關代幣由這些股票股份1:1比例支持,股份則被持牌托管方持有。需要注意的是,目前Uniswap界面顯示bCSPX目前狀態為“不受支持”,原因是其“可能無法很好地與智能合約配合使用,或者我們 [Uniswap] 出于法律原因無法進行交易”。(decrypt)[2023/2/12 12:01:30]

成都鏈安技術團隊對此事件進行了相關簡析。

格拉斯哥大學SUERC與Everledger合作打擊假冒蘇格蘭威士忌:12月18日消息,格拉斯哥大學的蘇格蘭大學環境研究中心(SUERC)與分布式賬本區塊鏈解決方案公司Everledger Ltd.簽署協議,以聯合起來對付威士忌行業的欺詐行為。根據該協議,SUERC的研究人員將Everledger智能防篡改瓶蓋安裝到稀有威士忌酒瓶上,幫助主要品牌、零售商、拍賣行和收藏家驗證蘇格蘭威士忌的出處。每一瓶威士忌都將使用SUERC的專有技術進行分析,然后酒瓶將受到保護,并使用近場通信(NFC)標簽連接到區塊鏈,從而保存一份證明威士忌的原產地和年代的數字記錄。(格拉斯哥大學官網)[2020/12/19 15:46:00]

聲音 | Block.one:與美國證券交易委員會已達成和解協議,罰款是針對ERC-20代幣銷售:據此前消息,Block.one同意通過支付2400萬美元民事罰款解決美國證券交易委員會(SEC)指控其進行未經注冊的ICO,并在大約一年的時間內籌集了相當于數十億美元的資金。Block.one官方剛發布聲明表示,與美國證券交易委員會(SEC)已達成和解協議。既不承認也不否認SEC的調查結果。此次罰款是針對ERC-20代幣銷售,該代幣已不再流通或交易,且不需要將該代幣作為證券在SEC注冊。罰款不是針對目前正在流通的實際EOS代幣。SEC同時授予Block.one一項未來業務的重要豁免權,Block.one將不受某些現行規則限制,通常適用于解決同樣類型事件。[2019/10/1]

1分析如下

Bitfinex股東趙東:應盡快切換到ERC20版本的USDT:今日Bitfinex的股東趙東透露,Bitfinex的首席財務官Giancarlo Devasini建議使用USDT交易的交易所,應盡快切換到ERC20版本的USDT,因為更加安全。據了解,此前Tether官方推出基于以太坊網絡為載體的ERC20格式的USDT,與之前基于比特幣網絡的USDT等價,但ERC20 USDT交易確認時間將減少15-30秒。[2018/3/22]

地址列表

Token合約:

0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76

被攻擊合約:

0x2320a28f52334d62622cc2eafa15de55f9987ed9

攻擊合約:

0xb480Ac726528D1c195cD3bb32F19C92E8d928519

攻擊者:

0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

交易截圖

首先攻擊者通過uniswapV2call2次調用受攻擊的目標合約中的mintAddressLock函數。

該mintAddressLock函數用于查詢并向目標鑄造NFT,并且nextid會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備,隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token,在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數,由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新,此時的nextId仍然為1028,并且合約并未驗證1028的Token數量是否為0,因此攻擊者再次成功地鑄造了1個ID為1031的Token,完成了攻擊。

2?總結建議

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計,且未考慮到ERC1155token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計,并在ERC1155token相關DeFi項目中加入防重入的功能。

截止目前為止,攻擊者仍然未將資產進行轉移,成都鏈安將持續進行監控。

攻擊者地址:

https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58

Tags:FINTOKELOCKTOKENnoodlefinanceWhey TokenekkoblockRefundToken

Polygon
ONI:Ronin橋被盜事件分析:5個驗證者私鑰被盜,合作第三方居然可訪問錢包服務器

據歐科云鏈鏈上天眼團隊對Ronin橋被盜事件分析:1.Ronin是GameFi項目AxieInfinity做的游戲以太坊側鏈.

1900/1/1 0:00:00
NYB:coindesk 如何創建一個真實的典藏中本聰NFT?

說明:中本聰nft4月1日開始白名單可以開始點擊購買。白名單購買期是三天,三天之后,白名單作廢。請大家注意一下。世界頂級區塊鏈媒體coindesk已經宣發.

1900/1/1 0:00:00
ZER:機構為什么看好Stargate?

LayerZero是一種在區塊鏈之間傳輸消息的協議。這些消息可以是交易,例如,代幣轉移或交換。Stargate則是建立在LayerZero上的橋梁和DEX.

1900/1/1 0:00:00
AMA:金色觀察|MetaMask Flask:web3開發者需要的試驗場

MetaMask目前是加密貨幣領域用戶最多的錢包,也是web3世界最集中的入口,但如果MetaMask只擁有錢包的功能,遠不能滿足web3世界里各個網絡的需求.

1900/1/1 0:00:00
DIA:顯卡價格全面暴跌:“挖礦”退潮之外 兩大因素不容忽視

記者走訪一線發現,不僅是線下的電腦配件檔口,線上的電商平臺、二手交易平臺的顯卡價格都有所下降。按照電子產品的市場規律,新品上市前,商家會降價清理存貨,減輕庫存壓力和換取現金流.

1900/1/1 0:00:00
ABS:Yuga Labs以40億美元估值完成4.5億美元融資,a16z領投

金色財經報道,YugaLabs今日宣布以40億美元估值完成新一輪4.5億美元融資,也是截至目前NFT行業最大一筆融資.

1900/1/1 0:00:00
ads