火星链 火星链
Ctrl+D收藏火星链
首页 > USDC > 正文

TOKEN:ERC1155的重入攻击又“现身”:Revest Finance被攻击事件简析

作者:

时间:1900/1/1 0:00:00

2022年3月27日,成都链安链必应-区块链安全态势感知平台舆情监测显示,DeFi协议RevestFinance遭到黑客攻击,损失约12万美元。

据悉,RevestFinance是针对DeFi领域的staking的解决方案,用户通过RevestFinance参与任何DeFi的staking,都可以直接创建生成一个NFT。

在攻击发生之后,项目方官方发推表示他们以太坊合约遭受了攻击,目前已采取措施确保所有链中的剩余资金安全。

ParaSpace:6月ERC-20供应存款环比增长37%:7月1日消息,ParaSpace发推称,其6月份ERC-20供应存款总额环比增长37%,从4520万美元增至6220万美元。[2023/7/1 22:11:59]

成都链安技术团队对此事件进行了相关简析。

1分析如下

地址列表

Token合约:

Nansen:FTX 24小时净流出6.53亿美元ETH和ERC-20 Token:11月8日消息,据Nansen链上数据显示,FTX24小时总存款5.4亿美元,总提款12亿美元,净流出价值6.53亿美元ETH和ERC-20Token。[2022/11/8 12:31:58]

0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76

被攻击合约:

0x2320a28f52334d62622cc2eafa15de55f9987ed9

攻击合约:

0xb480Ac726528D1c195cD3bb32F19C92E8d928519

攻击者:

CyberCapital创始人:BTC已不是最好的价值储存货币:11月1日消息,CyberCapital创始人兼首席信息官Justin Bons发推表示,比特币是互联网以来最伟大的发明,然而它不再是最好的货币或最好的价值存储货币,BTC已被取代。而在技术和经济上,ETH通过PoS所展示的更加稀缺和安全的功利主义价值积累为SOV奠定了最佳基础。随后CoinGeek创始人Calvin Ayre对此推文表示,BTC不是比特币,真正的比特币只是BSV,仍然是世界领先的技术。[2021/11/1 6:25:07]

0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

动态 | 以太坊混币平台Tornado.cash新版上线,将支持ERC20代币:以太坊混币平台Tornado.cash宣布新版上线,该版本支持ERC20代币,首个添加的代币 DAI,即将支持 USDT 和 USDC。该版本支持更高的存款限额,1 ETH 和 10 ETH,伊斯坦布尔分叉后其提款交易费将从 750k 降至 300k。为了推进更加去中心化,Tornado 还添加了对自定义中继器地址的支持。同时,通过将 Merkle 树的深度增至 20,将 Tornado.cash 智能合约的容量从 6.4 万提升到 100 万,这确保该合约地址不会马上被填满了,同时也导致更高的 gas 成本。当前更新尚未包含可信设置 MPC (多方安全计算),但是允许更新验证密钥,而无需重新部署智能合约。[2019/12/18]

交易截图

动态 | 百度超级链XuperChain、XuperData通过国家工业信息安全发展研究中心评测鉴定所测评:近日,百度超级链旗下XuperChain、XuperData通过国家工业信息安全发展研究中心评测鉴定所的测评。测评经历为期半月的前期摸底,百度超级链先后提交网络架构等20+份技术文档,节点测试、性能测试、智能合约测试等14个类目下的58项用例均满足要求。值得一提的是,在性能测试中,百度超级链并发可达每秒87000笔交易。[2019/8/16]

首先攻击者通过uniswapV2call2次调用受攻击的目标合约中的mintAddressLock函数。

该mintAddressLock函数用于查询并向目标铸造NFT,并且nextid会在铸造NFT后进行更新。

攻击者第一次调用mintAddressLock函数铸造了2个ID为1027的Token为后续攻击做准备,随后再次调用mintAddressLock铸造了3600个ID为1028的Token,在mint函数完成前攻击者重入了depositAdditionalToFNFT函数,由于NFTnextId在mint函数铸造NFT完成并通知后进行更新,此时的nextId仍然为1028,并且合约并未验证1028的Token数量是否为0,因此攻击者再次成功地铸造了1个ID为1031的Token,完成了攻击。

2?总结建议

此次攻击中的铸币相关函数未严格按照检查-生效-交互模式设计,且未考虑到ERC1155token转账重入的可能性。

建议在合约设计时严格按照检查-生效-交互模式设计,并在ERC1155token相关DeFi项目中加入防重入的功能。

截止目前为止,攻击者仍然未将资产进行转移,成都链安将持续进行监控。

攻击者地址:

https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58

标签:TOKENTOKETOKKENkeotokenFantasy TokenShibance TokenBtcdo Token

USDC热门资讯
元宇宙:QQ 逐渐元宇宙化 只因有了自己的“张小龙”?

最近,QQ上线了一个叫做“超级QQ秀”的新功能。你可以把它理解成是QQ秀的升级版。打开手机QQ,点击右上方加号旁边的按钮就可以进入超级QQ秀界面,用户可以设置自己的虚拟形象,包括服装、发型和配饰.

1900/1/1 0:00:00
数字人:金色早报 | 全国首笔数字人民币支付工程款项从苏州发出

头条▌全国首笔数字人民币支付工程款项从苏州发出金色财经报道,三笔项目工程款通过数字人民币在苏州成功发放。这是目前国内首笔数字人民币支付工程款项的结算交易,实现了数字金融产业与建设项目的深度融合.

1900/1/1 0:00:00
区块链:金色早报 | 美国SEC拟修订《证券交易法》:或对加密和DeFi产生影响

头条▌美国SEC拟修订《证券交易法》,或对加密和DeFi产生影响金色财经消息,美国证券交易委员会(SEC)提出了对1934年《证券交易法》的拟议修正案。有讨论指出或对加密和DeFi产生影响.

1900/1/1 0:00:00
META:元宇宙产业委共同主席郑纬民院士:元宇宙创新应用全面启航 算力是基础

元宇宙强调数字空间、虚拟世界,但是并不是说只是数字空间、虚拟世界,而是可以实现虚拟世界和现实世界、现实社会的交互,可以实现以虚强实.

1900/1/1 0:00:00
PETRO:全球首发碳资产NFT:那NFT本身会产生碳排放吗?

据报道,香港上市公司中国碳中和发布公告,2022年3月23日,集团提供核证碳标准下的碳信用作为底层资产,利用区块链技术全球首次发行碳资产NFT,支持机构、企业或个人通过平台购买碳资产NFT.

1900/1/1 0:00:00
区块链:金色观察|能源巨头BTC挖矿势能正在崛起

根据彭博社报道,石油巨头埃克森美孚(ExxonMobil)正在尝试利用废弃资源转向比特币挖矿。埃克森美孚与克鲁索能源公司签署了一项协议,利用其北达科他州油井多余的天然气为比特币挖矿业务提供动力.

1900/1/1 0:00:00