ION:慢霧：OMNI Protocol 被黑簡析

據慢霧安全團隊情報，2022年7月10號OMNIProtocol遭受閃電貸攻擊。慢霧安全團隊以簡訊形式分享如下：

1.攻擊者首先通過supplyERC721函數抵押doodle,抵押后合約會給攻擊者相應的憑證NToken

2.調用borrow函數借出WETH

3.調用withdrawERC721嘗試提取NFT,跟進到內部函數executeWithdrawERC721發現，提款會先通過burn函數去燃燒憑證

三箭資本聯合清算人：Kyle Davies無視法院傳票且阻撓調查:金色財經報道，據法院文件顯示，三箭資本創始人Kyle Davies無視要求其提供三箭資本賬簿和記錄的法院傳票且阻擾對三箭資本的調查。文件中稱，Kyle Davies和Zhu Su拒絕進行有意義的接觸，只是有選擇地零碎地披露信息。法院將在3月2日的聽證會上決定是否強制要求Kyle Davies遵守傳票內容。

此前報道，三箭資本聯合清算人通過推特向三箭資本兩名創始人Kyle Davies和Zhu Su發送了法院傳票。聯合清算人在一份聲明中表示，目前然專注于努力推進三箭資本的清算程序，以代表債權人最大限度地收回資產，但其創始人拒絕合作，故已通過申請和新加坡法院的授權，可以通過電子郵件和Twitter向其傳達需求。[2023/2/8 11:55:00]

而burn函數中的safeTransferFrom函數會去外部調用接收地址的OnERC721Received函數，攻擊者利用這點重入了合約的liquidationERC721函數

上海檢察官方發布一起虛擬貨幣案：非法獲利6000個USDT:金色財經報道，9月14日，上海檢察官方發布了一起侵犯公民個人信息刑事附帶民事公益訴訟案開庭審理的相關情況，該案被告人張某非法獲利為6000個USDT（泰達幣），浦東新區檢察院公益訴訟檢察官最終以獲利的虛擬幣價值計算出公益損害賠償數額，\t實現了公共利益最大限度保護。

公益訴訟檢察官認為，虛擬幣在我國不具有法定貨幣地位，但是其作為工具，易被違法犯罪的人利用，“如果在交易中使用該幣種，對違法所得金額，我們仍然可以按照該幣種交易市場價值進行計算違法所得金額。[2022/9/16 7:02:11]

4.在liquidationERC721函數中，攻擊者先支付了WETH并接收doodlenft，接著通過判斷后會調用_burnCollateralNTokens函數去燃燒掉對應的憑證，同樣的利用了burn函數外部調用的性質攻擊者再次進行了重入操作,先是抵押了清算獲得的nft,接著調用borrow函數去借出了81個WETH，但由于vars變量是在liquidationERC721函數中定義的，因此第二次借款不會影響到liquidationERC721函數中對用戶負債的檢查,這導致了攻擊者可以通過userConfig.setBorrowing函數將用戶的借款標識設置為false即將攻擊者設置成未在市場中有借款行為。

區塊鏈電子競技游戲Revoland完成千萬級美元融資:5月28日消息，據官方稱，區塊鏈電子競技游戲Revoland宣布已于近日完成千萬級美元融資，本輪融資由Hashkey Capital 和Polygon Venture領投，Tian Ge Interactive、AKG Venture、LinkVC、Arcanum Capital、Atlas Capital、Crypto Nord、PlayPark、MX investment、One Block Capital、AW Capital、Phemex Venture、Winston International、Gene Vision和Yield Master參投。本輪融資將用于Revoland游戲產品的持續開發迭代工作，加速推進平臺全球擴張策略。此外，Revoland將于近期開始逐步上線各大交易所。[2022/5/28 3:46:37]

5.在提款時會首先調用userConfig.isBorrowingAny()函數去判斷用戶的借款標識，假如借款標識為false,則不會判斷用戶的負債，故此重入后的81WETH的負債并不會在提款時被判斷,使得攻擊者可以無需還款則提取出所有的NFT獲利

此次攻擊的主要原因在于burn函數會外部調用回調函數來造成重入問題，并且在清算函數中使用的是舊的vars的值進行判斷，導致了即使重入后再借款，但用戶的狀態標識被設置為未借款導致無需還款。慢霧安全團隊建議在關鍵函數采用重入鎖來防止重入問題。

攻擊交易：0x05d65e0adddc5d9ccfe6cd65be4a7899ebcb6e5ec7a39787971bcc3d6ba73996

來源：金色財經

Tags：IONONEAVIITAUCX FoundationBased MoneyTAVITTAKITA幣

火必下載