2022年3月27日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi協議RevestFinance遭到黑客攻擊,損失約12萬美元。
據悉,RevestFinance是針對DeFi領域的staking的解決方案,用戶通過RevestFinance參與任何DeFi的staking,都可以直接創建生成一個NFT。
在攻擊發生之后,項目方官方發推表示他們以太坊合約遭受了攻擊,目前已采取措施確保所有鏈中的剩余資金安全。
成都鏈安技術團隊對此事件進行了相關簡析。
#1分析如下
幣安上Shiba未平倉合約突破1億美元:金色財經報道,Coinglass數據顯示,本月幣安SHIB期貨的未平倉頭寸增加了一倍多,達到1.0165億美元,達到2月5日以來的最高水平。SHIB期貨的規模為每份合約1000 SHIB,杠桿高達25倍。SHIB的市值已躍升近 32% 至 65.8 億美元。[2023/8/12 16:22:02]
地址列表
Token合約:0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76被攻擊合約:0x2320a28f52334d62622cc2eafa15de55f9987ed9攻擊合約:0xb480Ac726528D1c195cD3bb32F19C92E8d928519攻擊者:0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B
歐洲央行行長:數字歐元在維護歐洲支付自主權方面發揮著關鍵作用:3月21日消息,歐洲央行行長克里斯蒂娜·拉加德(Christine Lagarde)表示,數字歐元在維護歐洲支付自主權方面發揮著關鍵作用。她警告說,在日常生活的關鍵方面依賴單一來源是非常不健康的。數字歐元旨在安全、主權和可用。(彭博社)[2023/3/21 13:17:39]
交易截圖
首先攻擊者通過uniswapV2call2次調用受攻擊的目標合約中的mintAddressLock函數。
11月8日至今,ARK方舟基金累計增持超130萬股Coinbase股票:金色財經報道,數據顯示,11月8日至今,ARK方舟基金累計增持1300408股Coinbase股票(COIN),按當前價計算,價值約5233萬美元。截止周五收盤,COIN收盤報40.24美元。值得注意的是,自11月8日至今,ARK方舟基金未減持一股Coinbase股票(COIN)。
金色財經此前消息,瑞穗銀行將Coinbase股票的評級從中性下調至表現不佳的,并將其目標價從42美元下調至30美元。[2022/12/12 21:38:15]
該mintAddressLock函數用于查詢并向目標鑄造NFT,并且nextid會在鑄造NFT后進行更新。
攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備,隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token,在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數,由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新,此時的nextId仍然為1028,并且合約并未驗證1028的Token數量是否為0,因此攻擊者再次成功地鑄造了1個ID為1031的Token,完成了攻擊。
#2總結建議
此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計,且未考慮到ERC1155token轉賬重入的可能性。
建議在合約設計時嚴格按照檢查-生效-交互模式設計,并在ERC1155token相關DeFi項目中加入防重入的功能。
截止目前為止,攻擊者仍然未將資產進行轉移,成都鏈安將持續進行監控。
Tags:OINCOICOINTOKE1COINkucoin交易平臺app下載BitcoinPoStreetokengold
“現有的學術期刊系統已經千瘡百孔。這篇文章我們討論了潛在的解決方案,包括我們需要什么樣的期刊,以及web3技術帶來的新的可能.
1900/1/1 0:00:00SupraOracles很高興地宣布與依賴NFT的次世代GameFi生態系統KoiMetaverse建立合作伙伴關系.
1900/1/1 0:00:00WorldMobileToken很高興地宣布我們與行業領先的去中心化預言機網絡Chainlink達成技術合作.
1900/1/1 0:00:00Tether在波場網絡上新增印鈔10億枚USDT波場網絡補充了10億枚USDT的庫存。這是一筆已授權但未發行的交易該金額將用作下一次發行請求和鏈互換的庫存.
1900/1/1 0:00:00ConsenSys的首席執行官JoeLubin在最近的Ethereal演講中提到了NFT技術的潛在影響,并稱NFT技術是可以重塑行業的“深刻發明”.
1900/1/1 0:00:002022年1月13日互聯網飛艇即將來到桑給巴爾,WorldMobile能否在谷歌失敗的地方取得成功? Portalverse Network與Google Cloud達成合作:4月28日消息.
1900/1/1 0:00:00