12月21日,鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,UniswapV3流動性管理協議VisorFinance于北京時間12月21日晚上10點18分遭受攻擊,總損失約為820萬美元。關于本次攻擊,成都鏈安技術團隊第一時間進行了事件分析。
#1事件概覽
2021年12月21日晚VisorFinance官方Twiiter發布通告稱vVISR質押合約存在漏洞,發文前已有攻擊交易上鏈。
經過成都鏈安技術團隊分析,攻擊者通過惡意合約利用VisorFinance項目的漏洞,偽造了向VisorFinance的抵押挖礦合約(0xc9f27a50f82571c1c8423a42970613b8dbda14ef)存入2億代幣的交易,從而獲取了195,249,950vVISR抵押憑證代幣。然后再利用抵押憑證,從抵押挖礦合約中取出了8,812,958VISR。
加密交易所比特幣期貨交易量已連續第2個月下降,5月交易量達6919.1億美元:金色財經報道,The Block數據顯示,加密交易所比特幣期貨交易量(以美元計算)5月累計交易量達6919.1億美元,交易量已連續2個月下降。其中,Binance 5月期貨交易量為3896.8億美元,OKX 4月期貨交易量為1151.9億美元,ByBit4月期貨交易量為1067.1億美元。
值得注意的是,加密貨幣交易所的比特幣期貨交易量在2021年5月創出新高,達到2.69萬億美元,隨后便不斷下跌,即使BTC在6個月后創出歷史高位,達69000美元時,交易所的比特幣期貨交易量最也并未創出新高,只有1.59萬億美元。[2023/5/29 9:48:04]
#2事件具體分析
Dylan Leclair:比特幣在未來一到兩個季度將會受到沖擊:8月29日消息,21stParadigm聯創、比特幣分析師Dylan Leclair表示,比特幣將在未來一到兩個季度的去杠桿事件中受到沖擊。如果這種情況發生,可能會有大量空頭進入低位,其中大部分是美元保證金。他同時表示將在未來12個月內進行個人有史以來最大的一次收購。[2022/8/29 12:56:02]
攻擊交易為:
https://etherscan.io/tx/0x69272d8c84d67d1da2f6425b339192fa472898dce936f24818fda415c1c1ff3f
收益聚合協議Harvest Finance上線Arbitrum:5月20日消息,收益聚合協議Harvest Finance上線Arbitrum,可以通過Dolomite在Harvest.dolomite.io上提供的界面開始在Arbitrum上使用該協議。Harvest計劃于第三季度推出原生集成Arbitrum的DApp,用戶無需將通過Dolomite子域名部署的資產進行遷移。[2022/5/20 3:30:40]
攻擊手法大致如下:
Com2uS:NFT交易平臺C2X僅使用Terra技術并獨立于Luna生態系統,未投資過Luna:5月16日消息,受Terra事件影響,韓國游戲上市公司Com2uS旗下NFT交易平臺C2X也備受關注,因該平臺使用了Terraform Labs的區塊鏈Terra主網。Com2uS Holdings正在對Terra事件采取對策。Com2uS Holdings表示,在最壞的情況下,考慮建立自己的主網。Com2uS Holdings補償道:“目前C2X平臺服務運行正常。C2X僅使用Terra技術,是一個獨立于Luna價值的生態系統。”此外,Com2us Holdings表示,“我們將采取必要措施穩定服務運營。Com2us Holdings從未用現金投資過Luna或DeFi服務等虛擬資產。”(ekoreanews)[2022/5/16 3:19:23]
1.部署攻擊合約
0x10c509aa9ab291c76c45414e7cdbd375e1d5ace8;
2.通過攻擊合約調用VisorFinance項目的抵押挖礦合約deposit函數,并指定存入代幣數量visrDeposit為1億枚,from為攻擊合約,to為攻擊者地址
0x8efab89b497b887cdaa2fb08ff71e4b3827774b2;
3.在第53行,計算出抵押憑證shares的數量為97,624,975vVISR.
4.由于from是攻擊合約,deposit函數執行第56-59行的if分支,并調用攻擊合約的指定函數;
第57行,調用攻擊合約的owner函數,攻擊合約只要設置返回值為攻擊合約地址,就能夠通過第57行的檢查;
第58行,調用攻擊合約的delegatedTransferERC20函數,這里攻擊合約進行了重入,再次調用抵押挖礦合約的deposit函數,參數不變,因此抵押挖礦合約再次執行第3步的過程;
第二次執行到第58行時,攻擊合約直接不做任何操作;
5.由于重入,抵押挖礦合約向攻擊者發放了兩次數量為97,624,975vVISR的抵押憑證,總共的抵押憑據數量為195,249,950vVISR。
6.提現
攻擊者通過一筆withdraw交易
,將195,249,950vVISR兌換為8,812,958VISR,當時抵押挖礦合約中共有9,219,200VISR。
7.通過UniswapV2,攻擊者將5,200,000VISR兌換為了WETH,兌換操作將UniswapV2中ETH/VISR交易對的ETH流動性幾乎全部兌空,隨后攻擊者將獲得的133ETH發送到Tornado。
#3事件復盤
本次攻擊利用了VisorFinance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:
1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,并接管了抵押挖礦合約的執行流程;<-主要漏洞,造成本次攻擊的根本原因。
2.函數未做防重入攻擊;<-次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。
針對這兩個問題,成都鏈安在此建議開發者應做好下面兩方面防護措施:
1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;
2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。
來源:金色財經
作為一個初次聽說虛擬貨幣的“小白”,常常聽人提起區塊鏈和虛擬貨幣,常常似懂非懂。在接下來的一組文章中,我們將避開了一些技術細節,嘗試采用比較直觀的方式來解讀區塊鏈和虛擬貨幣,以及圍繞它形成的產業.
1900/1/1 0:00:00一:項目名字:AgoricJavaScript智能合約 二:項目介紹: 關于Agoric Agoric是一家開源開發公司,推出了可互操作的權益證明鏈和經濟.
1900/1/1 0:00:00原標題|公鏈Flow打造NFT陣地 文|湯圓 公鏈競爭進入白熱化,既有兼容以太坊EVM的交易所公鏈BSC,也有本輪牛市崛起的新生代公鏈Solana、雪崩協議、Luna、Polygon等.
1900/1/1 0:00:002021年末,DAO從一個圈內概念演變成一種主流意識,不管是數量還是籌集的資金都在激增;2022年即將來臨,RACADAO行將啟動BigGreenDao治理通證.
1900/1/1 0:00:00撰文:蔡彥,NGCVentures董事總經理去年夏天DeFi進入爆發式增長時,我們見證了許多DEX聚合器,如1inch、?Matcha、?ParaSwap?等.
1900/1/1 0:00:00自2020年「DeFi盛夏」以來,整個區塊鏈行業獲得了長足發展,市場衍生出了去中心化交易、借貸、衍生品、固定收益、算法穩定幣、資產合成、聚合器等諸多細分領域.
1900/1/1 0:00:00