ISR:Uniswap V3流动性管理协议Visor Finance再遭黑客攻击，VISR暴跌近95%

12月22日，UniswapV3流动性管理协议VisorFinance再次遭受黑客攻击，黑客借助漏洞提取了超过880万个VISR并在Uniswap上卖出，导致VISR代币暴跌近95%，通过TornadoCash进行洗币后黑客获利超过120枚ETH。

目前Visor官方表示将对攻击前地址数据进行快照，进行VISR迁移和退还。新Token将会采用新的名称替换旧的VISR名称，Token经济学保持不变，并且将使用新代币以1:1的比例赎回，包括质押在vVISR合约中的代币和质押在Tokemak中的Token。

zkSync Era主网地址数已超16万个，跨链ETH超过3.4万枚:金色财经报道，据Dune数据显示，截至3月30日，zkSync Era链上单一地址数已达160351个，已有34188枚ETH跨链进入zkSync Era网络，平均每个地址存入的ETH约为0.2枚。[2023/3/30 13:35:10]

据慢雾安全团队分析，VisorFinance项目遭受攻击是由于RewardsHypervisor合约在对用户充值进行权限检查时存在缺陷，导致攻击者可以构造恶意合约以进行任意铸造抵押凭证。

Coinbase宣布与WooCommerce商务系统建立战略合作关系:金色财经报道，Coinbase宣布与WooCommerce商务系统建立战略合作关系。[2022/11/22 7:53:29]

具体分析内容如下：

1.用户可以通过VisorFinance的RewardsHypervisor合约中的deposit函数进行VISR代币抵押，其会先将用户的VISR代币转进合约中，并铸造对应的抵押凭证给用户。若用户在进行deposit操作时传入的from地址是合约地址，那么其会先进行owner检查再调用from合约的delegatedTransferERC20函数将VISR代币转入抵押合约中，但owner检查却检查的是from合约的owner是否是调用者。因此攻击者可以部署恶意合约使得恶意合约owner满足此检查，随后就可以为任意地址铸造抵押凭证。?

NFT交易市场NeoSwap完成20.25万美元pre-seed轮融资:10月13日消息，根据提交给美国证券交易委员会的文件披露，NFT交易市场在pre-seed轮融资中募集了202,500美元，据该公司创始人兼首席执行官John Ennis透露，他们实际融资金额超过20.25万美元，但他拒绝给出确切数字，但表示他们的初始融资计划是募集50万美元pre-seed轮融资和300万美元种子轮融资。

NeoSwap主要帮助用户分组并重新分配NFT和货币的所有权，推动更多人参与NFT兑换，但该平台目前尚未确定盈利模式。（bizjournals）[2022/10/13 14:26:08]

2.攻击者利用凭空铸造的抵押凭证即可直接通过RewardsHypervisor合约的withdraw函数将合约中抵押的VISR取出。

因此，此次攻击是由于RewardsHypervisor合约在对用户充值进行权限检查时存在缺陷，导致攻击者可以构造恶意合约以进行任意铸造抵押凭证。

参考交易：

https://etherscan.io/tx/0x69272d8c84d67d1da2f6425b339192fa472898dce936f24818fda415c1c1ff3f

https://etherscan.io/tx/0x6eabef1bf310a1361041d97897c192581cd9870f6a39040cd24d7

标签：ISRVISRVisorSORVISR价格VISR币GastroAdvisorGastroAdvisor

Coinw热门资讯