老调重弹,ERC1155的重入攻击又“现身”,Revest Finance被攻击事件简析_KEN:itoken钱包可靠吗

2022年3月27日,成都链安链必应-区块链安全态势感知平台舆情监测显示,DeFi协议RevestFinance遭到黑客攻击,损失约12万美元。

据悉,RevestFinance是针对DeFi领域的staking的解决方案,用户通过RevestFinance参与任何DeFi的staking,都可以直接创建生成一个NFT。

DeFi期权协议Volare Finance完成超600万美元融资:8月4日消息,DeFi 期权协议 Volare Finance 宣布完成超 600 万美元融资,种子轮投资方包括 Digital Currency Group、Genesis Trading 和 Spark Digital Capital,私募轮投资方包括 Arrington Capital、Ava Labs、Bixin Ventures、Blizzard Fund、CRT Labs、DWeb3 Capital、Exnetwork Capital、GSR Markets、Hailstone Ventures、Huobi Ventures、IOBC Capital、Moonrock Capital、ORACLES INVESTMENT GROUP (OIG)、PrimeBlock Ventures、Parataxis Capital、Richard Dai、ViaBTC Capital 和 Waterdrip Capital。

Volare Finance 提供欧式期权、期权组合和奇异期权类 DeFi 期权协议,还允许投资者投资标准或定制的期权策略组合,并基于其基础设施为客户提供对冲、投机和收益提升的工具。[2022/8/4 12:02:49]

在攻击发生之后,项目方官方发推表示他们以太坊合约遭受了攻击,目前已采取措施确保所有链中的剩余资金安全。

Glassnode:超60%的比特币近一年没有移动:市场情报公司Glassnode的数据显示超过60%的比特币在最近一年内没有转移过。而上一次如此大量的比特币被囤积发生在2017年的牛市之前。比特币投资者表示,对市场还是持乐观态度的。尽管在经历了“3·12”崩盘后,比特币价格几乎下跌一半,但后续出现了惊人的反弹,长期持有比特币的投资者几乎没有受到影响。(decrypt)[2020/6/1]

成都链安技术团队对此事件进行了相关简析。

24小时合约市场爆仓超6071万美元 BTC合约爆仓5610万美元:据合约帝行情统计报告显示:过去24小时合约市场全网总计爆仓6071万美元,爆仓人数5434人。其中Huobi爆仓265万美元,OKEx爆仓1596万美元,BitMEX爆仓2412万美元,Binance爆仓1797万美元。爆仓金额前三的币种是BTC5610万美元,ETH151万美元,BCH104万美元。[2020/3/26]

该mintAddressLock函数用于查询并向目标铸造NFT,并且nextid会在铸造NFT后进行更新。

攻击者第一次调用mintAddressLock函数铸造了2个ID为1027的Token为后续攻击做准备,随后再次调用mintAddressLock铸造了3600个ID为1028的Token,在mint函数完成前攻击者重入了depositAdditionalToFNFT函数,由于NFTnextId在mint函数铸造NFT完成并通知后进行更新,此时的nextId仍然为1028,并且合约并未验证1028的Token数量是否为0,因此攻击者再次成功地铸造了1个ID为1031的Token,完成了攻击。

#2总结建议

此次攻击中的铸币相关函数未严格按照检查-生效-交互模式设计,且未考虑到ERC1155token转账重入的可能性。

建议在合约设计时严格按照检查-生效-交互模式设计,并在ERC1155token相关DeFi项目中加入防重入的功能。

截止目前为止,攻击者仍然未将资产进行转移,成都链安将持续进行监控。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

ICP纳米比亚央行计划推出CBDC_ETH:USD

4月9日消息,随着加密货币在全球的兴起并且越来越多地被采用,纳米比亚央行最近发布其金融科技监管框架,并宣布有意推出其中央银行数字货币。纳米比亚银行表示,“我们不能忽视CBDC,这是一个现实.

[0:15ms0-4:258ms