VISR:损失约820万美元，Visor Finance遭黑客攻击事件全解析_VISR价格

12月21日，链必应-区块链安全态势感知平台舆情监测显示，UniswapV3流动性管理协议VisorFinance于北京时间12月21日晚上10点18分遭受攻击，总损失约为820万美元。关于本次攻击，成都链安技术团队第一时间进行了事件分析。

#1事件概览

2021年12月21日晚VisorFinance官方Twiiter发布通告称vVISR质押合约存在漏洞，发文前已有攻击交易上链。

经过成都链安技术团队分析，攻击者通过恶意合约利用VisorFinance项目的漏洞，伪造了向VisorFinance的抵押挖矿合约(0xc9f27a50f82571c1c8423a42970613b8dbda14ef)存入2亿代币的交易，从而获取了195,249,950vVISR抵押凭证代币。然后再利用抵押凭证，从抵押挖矿合约中取出了8,812,958VISR。

莫斯科交易所计划在年底前提供数字金融资产产品:8月21日消息，一位高管透露，俄罗斯最大的股票、债券和衍生品市场莫斯科交易所（Moscow Exchange）计划在今年年底之前推出基于数字金融资产（DFA）的产品。莫斯科交易所（MOEX）董事会成员、信息技术董事总经理Andrey Burilov表示，MOEX目前正与其合作伙伴之一合作，以实现一个提供数字代币的项目。他指出这是一家来自实体经济的公司，并表示“重点是使用数字技术将公司的固定资产与投资市场联系起来。”

Burilov强调，商品数字化为市场参与者创造附加值。MOEX旨在利用DFA为其客户提供另一种投资工具，为确保信息安全提供一种全新的方式。他指出，实施方面的主要困难在于，对于市场来说这是一款从监管到软件的全新产品。另一个挑战是如何将其整合到交易所及其客户的现有系统中。

据此前报道，俄罗斯银行业协会负责人提议，在莫斯科证券交易所MOEX创建加密交易业务。（Bitcoin.com）[2022/8/21 12:38:51]

#2事件具体分析

政策 | 美国制裁支持委内瑞拉石油币的莫斯科银行:据Cointelegraph消息，美国财政部将莫斯科的Evrofinance Mosnarbank银行列入其制裁名单。在一份声明中，美国财政部称，当委内瑞拉石油币（Petro）于2018年推出时，Evrofinance成为愿意为石油币提供资金的主要国际金融机构。 Petro的早期投资者被邀请通过将资金转至Evrofinance的委内瑞拉政府账户来购买加密货币。[2019/3/13]

攻击交易为：

https://etherscan.io/tx/0x69272d8c84d67d1da2f6425b339192fa472898dce936f24818fda415c1c1ff3f

动态 | 莫斯科将于2018年12月6日举办加密货币矿业展览论坛:据btcmanager消息，莫斯科将于2018年12月6日举办加密货币矿业展览论坛。该论坛计划在企业的管理者和专门从事冷却生产和供应的公司的采矿业专业人员的一个地点聚集设备，安全、自动控制服务给电力成本低的地区的代表。活动场地将包括两个独立的区域，发言人将在会议大厅发表演讲，随后进行讨论，超过35家俄罗斯和外国领先的采矿设备制造商和分销商将在出口区的展台展示他们的解决方案。该论坛将讨论采矿业的重大变化问题，2018 - 2020年的盈利能力，采矿业的基本面，如何识别欺诈者和伪加密货币专家，以及采矿设备组装和安装。[2018/11/18]

攻击手法大致如下：

莫斯科政府尝试用区块链技术支撑的投票系统:莫斯科政府正尝试通过区块链技术来支撑本地投票。根据12月4日的声明，官员已经开发了一个将区块链技术用于跟踪投票的试点系统，这项技术的引入将使得公民投票更加透明，公民能够验证官员信息的真实性并随时改变投票意愿。[2017/12/5]

1.部署攻击合约

0x10c509aa9ab291c76c45414e7cdbd375e1d5ace8；

2.通过攻击合约调用VisorFinance项目的抵押挖矿合约deposit函数，并指定存入代币数量visrDeposit为1亿枚，from为攻击合约，to为攻击者地址

0x8efab89b497b887cdaa2fb08ff71e4b3827774b2；

3.在第53行，计算出抵押凭证shares的数量为97,624,975vVISR.

4.由于from是攻击合约，deposit函数执行第56-59行的if分支，并调用攻击合约的指定函数；

第57行，调用攻击合约的owner函数，攻击合约只要设置返回值为攻击合约地址，就能够通过第57行的检查；

第58行，调用攻击合约的delegatedTransferERC20函数，这里攻击合约进行了重入，再次调用抵押挖矿合约的deposit函数，参数不变，因此抵押挖矿合约再次执行第3步的过程；

第二次执行到第58行时，攻击合约直接不做任何操作；

5.由于重入，抵押挖矿合约向攻击者发放了两次数量为97,624,975vVISR的抵押凭证，总共的抵押凭据数量为195,249,950vVISR。

6.提现

攻击者通过一笔withdraw交易

，将195,249,950vVISR兑换为8,812,958VISR，当时抵押挖矿合约中共有9,219,200VISR。

7.通过UniswapV2，攻击者将5,200,000VISR兑换为了WETH，兑换操作将UniswapV2中ETH/VISR交易对的ETH流动性几乎全部兑空，随后攻击者将获得的133ETH发送到Tornado。

#3事件复盘

本次攻击利用了VisorFinance项目抵押挖矿合约RewardsHypervisor的两个漏洞：

1.call调用未对目标合约进行限制，攻击者可以调用任意合约，并接管了抵押挖矿合约的执行流程；<-主要漏洞，造成本次攻击的根本原因。

2.函数未做防重入攻击；<-次要漏洞，导致了抵押凭证数量计算错误，不是本次攻击的主要利用点，不过也可凭此漏洞单独发起攻击。

针对这两个问题，成都链安在此建议开发者应做好下面两方面防护措施：

1.进行外部合约调用时，建议增加白名单，禁止任意的合约调用，特别是能够控制合约执行流程的关键合约调用；

2.函数做好防重入，推荐使用openzeppelin的ReentrancyGuard合约。

标签：VISRSORVisorRFIVISR价格MISSOR币GastroAdvisorARFI

币赢交易所热门资讯