以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

老調重彈,ERC1155的重入攻擊又“現身”,Revest Finance被攻擊事件簡析-ODAILY_RES

Author:

Time:1900/1/1 0:00:00

2022年3月27日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi協議RevestFinance遭到黑客攻擊,損失約12萬美元。

據悉,RevestFinance是針對DeFi領域的staking的解決方案,用戶通過RevestFinance參與任何DeFi的staking,都可以直接創建生成一個NFT。

在攻擊發生之后,項目方官方發推表示他們以太坊合約遭受了攻擊,目前已采取措施確保所有鏈中的剩余資金安全。

成都鏈安技術團隊對此事件進行了相關簡析。

#1分析如下

Nexo同意支付4500萬美元與監管機構達成和解:金色財經報道,在美國證券交易委員會指控Nexo未能注冊其零售加密資產借貸產品EarnInterest Product的要約和銷售后,Nexo同意向聯邦和州機構支付4500萬美元。該機構在一份聲明中表示,該貸方將支付2250萬美元的罰款,并同意停止向美國投資者出售EarnInterest Product。Nexo還同意額外支付2250萬美元,以了結州監管機構提出的類似指控。美國證券交易委員會于1月12日指控Gemini和Genesis通過Gemini加密貨幣借貸計劃向散戶投資者提供未經注冊的證券發售和銷售。專家當時表示,這些指控是對加密貨幣領域其他也提供收益產品的交易所和參與者的警告信號。[2023/1/20 11:22:04]

地址列表

Espresso Systems推出二層擴容方案測試網Americano:11月30日消息,Web3應用擴展和隱私系統Espresso Systems發布公告稱,去中心化二層擴容方案Espresso Sequencer內部測試網Americano現已上線,目前尚未對公眾開放。

Espresso Sequencer是一個優先考慮高吞吐量和快速最終確定性的共識協議,使以太坊二層擴容方案交易排序去中心化,補充了以太坊共識(Gasper)所固有的平衡。[2022/11/30 21:12:55]

Token合約:0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76被攻擊合約:0x2320a28f52334d62622cc2eafa15de55f9987ed9攻擊合約:0xb480Ac726528D1c195cD3bb32F19C92E8d928519攻擊者:0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

區塊鏈公司MetaJuice完成新一輪融資,Animoca Brands等參投:10月14日消息,Together Labs旗下區塊鏈子公司MetaJuice宣布已完成其即將發行的代幣VCORE的最終輪預售,本輪融資由Animoca Brands、Meta Impact Capital、BITKRAFT Ventures、Immutable X、DWeb3 Capital、Rosmoor Digital Assets、Peer Ventures和Mirana Ventures等參投,融資金額未披露。

據悉,VCORE將在社交元宇宙IMVU中推出,旨在通過獎勵用戶的參與來為虛擬世界的經濟提供動力。

此前報道,Metajuice在IMVU元宇宙中推出NFT市場,Metajuice已經與IMVU的創作者合作推出收集可穿戴NFT系列。[2022/10/14 14:27:37]

交易截圖

首先攻擊者通過uniswapV2call2次調用受攻擊的目標合約中的mintAddressLock函數。

該mintAddressLock函數用于查詢并向目標鑄造NFT,并且nextid會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備,隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token,在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數,由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新,此時的nextId仍然為1028,并且合約并未驗證1028的Token數量是否為0,因此攻擊者再次成功地鑄造了1個ID為1031的Token,完成了攻擊。

#2總結建議

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計,且未考慮到ERC1155token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計,并在ERC1155token相關DeFi項目中加入防重入的功能。

截止目前為止,攻擊者仍然未將資產進行轉移,成都鏈安將持續進行監控。

Tags:RESMINNFTINTares幣最新行情mina幣大漲過嗎NFTPUNK價格PRINTS價格

比特幣交易所
Bitfinex周報(0314-0320)-ODAILY_BIT

數據:Bitfinex上巨鯨已平倉其70%空頭倉位3月15日消息,據Bitfinex合約市場數據顯示,Bitfinex上此前重倉做空的BTC巨鯨現已平倉其大部分空頭倉位.

1900/1/1 0:00:00
Build Finance攻擊事件分析-ODAILY_BAS

0x01:前言 風投DAO組織BuildFinance在社交媒體發文表示,該項目遭遇惡意治理攻擊,攻擊者惡意鑄造了110萬枚BUILD并拋售套利.

1900/1/1 0:00:00
二月安全事件總結與回顧-ODAILY_PAC

前言 新春二月,知道創宇區塊鏈安全實驗室拓寬了對區塊鏈安全信息收集總結的信息廣度,將專注于典型安全事件的視角,拔升到了對整個區塊鏈安全資訊的審視.

1900/1/1 0:00:00
人人都在討論的Web3是網絡的未來還是流行詞?-ODAILY_WEB

最近,科技、加密貨幣和風險投資領域都熱衷于討論一個流行詞匯,而且當今的對話中充滿了這個詞,甚至如果你不把它添加到你的Twitter個人簡介里,就說明你不關心未來,這個詞就是Web3.

1900/1/1 0:00:00
波卡生態周報:波卡正在進入下一階段,向Web3的愿景邁進-ODAILY_MOO

Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.

1900/1/1 0:00:00
合作經濟學:反對技術統治的非暴力革命-ODAILY_區塊鏈

合作經濟學:反對技術統治的非暴力革命這是介紹我們合作經濟設計的系列文章的第一篇,描述了代幣工程社區如何與CommonsStack聯盟,使用這些設計來啟動他們的公地經濟.

1900/1/1 0:00:00
ads