以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > DYDX > Info

老調重彈,ERC1155的重入攻擊又“現身”,Revest Finance被攻擊事件簡析-ODAILY_TOKE:TOKEN

Author:

Time:1900/1/1 0:00:00

2022年3月27日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi協議RevestFinance遭到黑客攻擊,損失約12萬美元。

據悉,RevestFinance是針對DeFi領域的staking的解決方案,用戶通過RevestFinance參與任何DeFi的staking,都可以直接創建生成一個NFT。

在攻擊發生之后,項目方官方發推表示他們以太坊合約遭受了攻擊,目前已采取措施確保所有鏈中的剩余資金安全。

成都鏈安技術團隊對此事件進行了相關簡析。

#1分析如下

Proshares比特幣策略ETF漲3.42%:金色財經報道,隨著比特幣達到六周多以來的最高水平,美股加密板塊普漲,Proshares比特幣策略ETF漲3.42%。[2023/6/21 21:52:31]

地址列表

Token合約:0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76被攻擊合約:0x2320a28f52334d62622cc2eafa15de55f9987ed9攻擊合約:0xb480Ac726528D1c195cD3bb32F19C92E8d928519攻擊者:0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

巴哈馬總理:FTX破產與巴哈馬法律無關:金色財經報道,巴哈馬總理Philip Davis在2023年共識大會上表示,該國對合法的數字資產公司“開放營業”。Philip Davis還表示,該國新的加密貨幣法規旨在為加密貨幣公司提供監管清晰度,他希望這將為該島國帶來更多數字資產公司。(Coindesk)[2023/4/28 14:32:04]

交易截圖

首先攻擊者通過uniswapV2call2次調用受攻擊的目標合約中的mintAddressLock函數。

成都鏈安:Goldfinch項目的SeniorPool合約遭受攻擊,項目方累計損失超54萬美元:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,Goldfinch項目的SeniorPool合約遭受攻擊,攻擊者累計獲利28523個USDC,項目方累計損失541158個USDC。經成都鏈安技術團隊分析,本次攻擊原因是攻擊者可以利用Curve的FIDU-USDC池子獲取FIDU代幣,來獲取SeniorPool合約抵押USDC代幣的紅利。目前Curve中FIDU兌換USDC為1:1.03, 而在SeniorPool中的比例為1:1.07,這就產生了套利空間。[2022/6/28 1:36:11]

該mintAddressLock函數用于查詢并向目標鑄造NFT,并且nextid會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備,隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token,在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數,由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新,此時的nextId仍然為1028,并且合約并未驗證1028的Token數量是否為0,因此攻擊者再次成功地鑄造了1個ID為1031的Token,完成了攻擊。

#2總結建議

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計,且未考慮到ERC1155token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計,并在ERC1155token相關DeFi項目中加入防重入的功能。

截止目前為止,攻擊者仍然未將資產進行轉移,成都鏈安將持續進行監控。

Tags:TOKEKENTOKTOKENKind Ads TokenMuzzleTokenToken of FireSIL Finance Token V2

DYDX
Create2Earn:未來元宇宙經濟的主要商業模式-ODAILY_元宇宙:REA

根據花旗銀行今年3月份的估算,到2030年,元宇宙的潛在市場規模在8-13萬億美元之間,元宇宙用戶總數將達到50億.

1900/1/1 0:00:00
波場去中心化算法穩定幣USDD正式上線-ODAILY_tron:Tronipay

據最新消息,波場去中心化算法穩定幣USDD已正式上線。 波場TRON用戶數突破5200萬:2021年8月31日,根據TRONSCAN區塊鏈瀏覽器最新數據顯示,波場TRON賬戶總數達到52,000.

1900/1/1 0:00:00
深度詳解DEX 2.0協議DDDX的Vote to earn模式-ODAILY_DDD:DDDX

3月底,BNBChain上的DEX2.0協議DDDX公布了第二輪項目伙伴名單,包括Beefy,Autofarm和dForce在內的12個BNBChain上的知名項目陸續宣布參與DDDX協議的ve.

1900/1/1 0:00:00
如何在Web3時代創業?-ODAILY_WEB:DAO

對于創業公司來說,crypto行業蘊藏的機遇是其他行業無法企及的。crypto和Web3的核心愿景就是打造向所有人都開放的原生數字經濟.

1900/1/1 0:00:00
Polkadot和Kusama之間究竟有什么區別? -ODAILY_KUSA:ethnographyasamethodused

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
波卡上的數字資產是如何通過公共利益平行鏈Statemint部署的?-ODAILY_TEM:STAT

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
ads