12月21日,鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,UniswapV3流動性管理協議VisorFinance于北京時間12月21日晚上10點18分遭受攻擊,總損失約為820萬美元。關于本次攻擊,成都鏈安技術團隊第一時間進行了事件分析。
#1事件概覽
2021年12月21日晚VisorFinance官方Twiiter發布通告稱vVISR質押合約存在漏洞,發文前已有攻擊交易上鏈。
經過成都鏈安技術團隊分析,攻擊者通過惡意合約利用VisorFinance項目的漏洞,偽造了向VisorFinance的抵押挖礦合約(0xc9f27a50f82571c1c8423a42970613b8dbda14ef)存入2億代幣的交易,從而獲取了195,249,950vVISR抵押憑證代幣。然后再利用抵押憑證,從抵押挖礦合約中取出了8,812,958VISR。
Bitso集成Stellar網絡促進國際USDC支付:金色財經報道,拉丁美洲加密貨幣交易所Bitso集成Stellar的支付網絡Anchor Network,并與Stellar Development Foundation合作開發了一個解決方案,使世界各地的企業能夠在阿根廷、哥倫比亞和墨西哥進行USDC交易。[2023/7/19 11:05:05]
#2事件具體分析
攻擊交易為:
https://etherscan.io/tx/0x69272d8c84d67d1da2f6425b339192fa472898dce936f24818fda415c1c1ff3f
ApeCoin社區發起提案AIP-235擬推出人才庫項目“ApeTalent”:金色財經報道,ApeCoin社區已發起最新提案AIP-235擬推出人才庫項目“ApeTalent”,提案建議將社區內的協作和交流提升到一個新的水平,創建一個人才和機會中心,這將使 ApeCoin 生態系統的所有成員受益,為社區創造價值。根據Snapshot相關投票信息顯示,該提案投票已經啟動,擬于6月1日結束,本文撰寫時的反對票比例為96%。[2023/5/28 9:47:00]
攻擊手法大致如下:
1.部署攻擊合約
5000萬枚USDT從Bitfinex轉移至Tether Treasury:金色財經報道,據WhaleAlert數據監測,5000萬枚USDT(約合50,457,500美元)從Bitfinex轉移至Tether Treasury。[2023/3/12 12:57:55]
0x10c509aa9ab291c76c45414e7cdbd375e1d5ace8;
2.通過攻擊合約調用VisorFinance項目的抵押挖礦合約deposit函數,并指定存入代幣數量visrDeposit為1億枚,from為攻擊合約,to為攻擊者地址
數據:Arbitrum交易筆數首次超越以太坊主網,創歷史新高:金色財經報道,據Dune數據顯示,昨日以太坊Layer 2擴容解決方案Arbitrum交易筆數達110萬次,首次超越以太坊主網,創歷史新高。
昨日,以太坊主網交易筆數為108萬次,Optimism的交易筆數約為19萬次。[2023/2/22 12:21:33]
0x8efab89b497b887cdaa2fb08ff71e4b3827774b2;
3.在第53行,計算出抵押憑證shares的數量為97,624,975vVISR.
4.由于from是攻擊合約,deposit函數執行第56-59行的if分支,并調用攻擊合約的指定函數;
第57行,調用攻擊合約的owner函數,攻擊合約只要設置返回值為攻擊合約地址,就能夠通過第57行的檢查;
第58行,調用攻擊合約的delegatedTransferERC20函數,這里攻擊合約進行了重入,再次調用抵押挖礦合約的deposit函數,參數不變,因此抵押挖礦合約再次執行第3步的過程;
第二次執行到第58行時,攻擊合約直接不做任何操作;
5.由于重入,抵押挖礦合約向攻擊者發放了兩次數量為97,624,975vVISR的抵押憑證,總共的抵押憑據數量為195,249,950vVISR。
6.提現
攻擊者通過一筆withdraw交易
,將195,249,950vVISR兌換為8,812,958VISR,當時抵押挖礦合約中共有9,219,200VISR。
7.通過UniswapV2,攻擊者將5,200,000VISR兌換為了WETH,兌換操作將UniswapV2中ETH/VISR交易對的ETH流動性幾乎全部兌空,隨后攻擊者將獲得的133ETH發送到Tornado。
#3事件復盤
本次攻擊利用了VisorFinance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:
1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,并接管了抵押挖礦合約的執行流程;<-主要漏洞,造成本次攻擊的根本原因。
2.函數未做防重入攻擊;<-次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。
針對這兩個問題,成都鏈安在此建議開發者應做好下面兩方面防護措施:
1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;
2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。
Tags:ISRVISRANCFINISR幣VISR幣Bancor Governance TokenMoonBear.finance
引言 在一堆不同的項目中,我們需要允許用戶從EVM存入某種鏈下狀態,該狀態在鏈上表示為Merkle累加器。該Merkle樹根據有效性證明或欺詐證明+同步假設進行更新.
1900/1/1 0:00:00撰文:Footprint分析師Lesley 日期:2021年12月 由中心化交易所Crypto.com推出的Cronos鏈,于11月8日完成主網測試版發布,僅僅一個月后的12月13日.
1900/1/1 0:00:00今年10月份,以太坊上的域名服務商ENS正式開啟了空投認領,根據空投規則,有早期貢獻者收獲了近4.6萬個ENS代幣。根據市場數據,ENS一度最高漲到120美金.
1900/1/1 0:00:00如果比特幣從目前的水平上漲,可能會在短期內提振MATC、NEAR、ATOM和HNT的價格。在圣誕節那天保持在50,000美元以上后,比特幣(?BTC?)在12月26日面臨拋售壓力.
1900/1/1 0:00:00Solana生態首個NFT驅動的社交平臺Only1宣布,將與去中心化孵化機構DuckDAO攜手推出全球首個去中心化風投NFT——DuckSquad,讓大眾能夠參與私募及種子輪交易投資.
1900/1/1 0:00:00經了解,早在1989年,美國國立醫學圖書館就曾發起“可視人計劃”,在首次提出虛擬數字人概念時,全球就掀起了虛擬數字人物的浪潮.
1900/1/1 0:00:00