比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

TOKE:老調重彈,ERC1155的重入攻擊又“現身”,Revest Finance被攻擊事件簡析

Author:

Time:1900/1/1 0:00:00

2022年3月27日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi協議RevestFinance遭到黑客攻擊,損失約12萬美元。

據悉,RevestFinance是針對DeFi領域的staking的解決方案,用戶通過RevestFinance參與任何DeFi的staking,都可以直接創建生成一個NFT。

投資巨頭貝萊德推出元宇宙主題ETF:金色財經報道,投資巨頭貝萊德(BLK)正在發行一只交易所交易基金(ETF),該基金將主要關注那些接觸到元宇宙的科技公司。

根據該基金的網站,iShares Future Metaverse Tech and Communications ETF(IVRS)將投資于那些有望在虛擬平臺、社交媒體、游戲、3D軟件、數字資產以及虛擬和增強現實等領域為元宇宙作出貢獻的公司。被列入持股的前五家公司是Meta Platforms(META)、蘋果(AAPL)、Nvidia(NVDIA)、網易(NTES)和Roblox(RBLX)。[2023/2/23 12:24:04]

在攻擊發生之后,項目方官方發推表示他們以太坊合約遭受了攻擊,目前已采取措施確保所有鏈中的剩余資金安全。

安全團隊:FTX交易所遭到gas竊取攻擊事件技術分析:10月13日消息,據Beosin EagleEye Web3安全預警與監控平臺的輿情消息,FTX交易所遭到gas竊取攻擊,黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。Beosin安全團隊第一時間對事件進行了分析,結果如下:

1.以其中一筆攻擊交易為例

(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)

2.FTX熱錢包地址會向攻擊合約地址轉入小額的資金,利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約,并且每次執行完子合約之后,子合約都會自毀。

3.接下來子合約fallback()函數去向Xen合約發起鑄幣請求,如下函數,claimRank()函數傳入一個時間期限(最小1天)進行鑄幣,鑄幣條件是只用支付調用gas費,并無其他成本,并且claimMintReward()函數為提取函數,該函數只判斷是否達到時間期限(本次黑客設置的時間期限為最小值1天),便可無條件提取。但在此次調用過程中,交易發起者為FTX熱錢包地址,所以整個調用過程的gas都是由FTX熱錢包地址所支付,而Xen鑄幣地址為攻擊者地址。

4. 1-3中的步驟,重復多次,并且每次重復過程中都會將已到期的代幣提取出來,并且同時發起新的鑄幣請求。

截止發文時,通過Beosin Trace追蹤發現,FTX交易所損失81ETH,黑客通過DODO,Uniswap將XEN Token換成ETH轉移。[2022/10/13 14:26:15]

成都鏈安技術團隊對此事件進行了相關簡析。

活躍狀態超10年的比特幣供應量達到2,504,177.011 BTC創歷史新高:金色財經報道,據 glassnode 最新數據顯示,活躍狀態超10年的比特幣供應量已達到2,504,177.011 BTC,創下歷史新高。[2022/8/22 12:39:27]

該mintAddressLock函數用于查詢并向目標鑄造NFT,并且nextid會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備,隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token,在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數,由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新,此時的nextId仍然為1028,并且合約并未驗證1028的Token數量是否為0,因此攻擊者再次成功地鑄造了1個ID為1031的Token,完成了攻擊。

#2總結建議

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計,且未考慮到ERC1155token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計,并在ERC1155token相關DeFi項目中加入防重入的功能。

截止目前為止,攻擊者仍然未將資產進行轉移,成都鏈安將持續進行監控。

Tags:TOKEKENTOKTOKENESAX TokenMotoGP Fan TokenWRX TokenBitSG Token

狗狗幣價格
KEX:BKEX 關于上線 EMBR(Embr) 并開放充值功能的公告

尊敬的用戶:?????????BKEX即將上線EMBR,詳情如下:上線交易對:EMBR/USDT??幣種類型:BEP20充值功能開放時間:已開放交易功能開放時間:2022年4月3日20:00提現.

1900/1/1 0:00:00
NFT:一文盤點未來值得關注的13條加密賽道

原文作者:pastry,加密研究員 原文編譯:0x137 本文梳理自加密研究員pastry在個人社交媒體平臺上的觀點,律動BlockBeats對其整理翻譯如下:在加密世界,投資的時機至關重要.

1900/1/1 0:00:00
COM:XT.COM關於PLUGCN主網升級完成恢復其充提的公告

尊敬的XT.COM用戶:由於PLUGCN主網升級已完成,XT.COM現已恢復PLUGCN充值與提現業務.

1900/1/1 0:00:00
BIT:BitMart上線Bridge (BRG)

親愛的BitMart用戶:BitMart將于2022年4月4日上線代幣Bridge(BRG)。屆時將開通BRG/USDT交易對.

1900/1/1 0:00:00
ETH:關於Ronin網絡充值提現暫時關閉的公告

親愛的用戶: 對於Ronin跨鏈橋的安全漏洞問題,幣安調查團隊正在積極協助AxieInfinity團隊追溯與此跨鏈橋相關的交易記錄,進而更好地識別黑客.

1900/1/1 0:00:00
888:參加第 1 層區塊鏈代幣交易大賽,高達188,888 BUSD獎池等您瓜分!

活動時間:2022年04月01日08:00至2022年04月11日07:59活動期間,幣安合約平臺將為交易熱門第1層代幣進行排名。 如何參與: 第1步:登錄幣安合約.

1900/1/1 0:00:00
ads