链资讯 链资讯
Ctrl+D收藏链资讯

KEN:ERC1155的重入攻击又“现身”:Revest Finance被攻击事件简析_TOKE

作者:

时间:

2022年3月27日,成都链安链必应-区块链安全态势感知平台舆情监测显示,DeFi协议RevestFinance遭到黑客攻击,损失约12万美元。

据悉,RevestFinance是针对DeFi领域的staking的解决方案,用户通过RevestFinance参与任何DeFi的staking,都可以直接创建生成一个NFT。

在攻击发生之后,项目方官方发推表示他们以太坊合约遭受了攻击,目前已采取措施确保所有链中的剩余资金安全。

以太坊研究员Anton Wahrst?tter提出了一项关于ERC-721扩展的新提案:金色财经报道,受Vitalik Buterin的不可转让Soulbound代币理念的启发,以太坊研究员Anton Wahrst?tter提出了一项关于ERC-721扩展的新提案,该提案将实施“隐形”地址以掩盖涉及NFT的公共区块链交易。

为了ERC-721代币(以太坊当前的 NFT 代币标准)实施隐身地址,?Wahrst?tter建议使用一种以隐私为中心的加密技术,称为zk-SNARKs。[2022/8/9 12:13:31]

成都链安技术团队对此事件进行了相关简析。

SushiSwap创始人:MasterChef没有48小时时间锁定不能设置任何东西:有推特网友提问称:“对SushiSwap中还没有设置的迁移合约有什么看法?所有权转移到多签名(multisig)可能是在LP迁移之后发生的,这让Chef Nomi从明天起就可以随意地安排一个迁移合约。”对此SushiSwap创始人Chef Nomi回应称:“MasterChef合约所有权是时限,没有48小时的时间锁定我就不能设置任何东西。”此前消息, SushiSwap创始人Chef Nomi表示,合约审计已经完成,流动性迁移提案已获得社区批准。48小时后将可以进行迁移。[2020/9/5]

动态 | Ripple合作伙伴MercuryFX计划在2019年建立10条新的xRapid支付渠道:据Ambcrypto报道,Ripple合作伙伴MercuryFX计划在2019年中期建立10条新的支付渠道,以支持和向其客户提供xRapid及其原生数字资产XRP。MercuryFX首席执行官兼创始人Alastair Constance透露,这些渠道将从英国延伸到加拿大、中东、墨西哥和菲律宾。目前,他们为中东和加拿大制定的推广计划已经迫在眉睫了,而其他渠道可能需要更长的时间去建构。[2019/2/26]

1分析如下

地址列表

动态 | 加拿大NetCents公司为接受Visa或MasterCard的商家提供数字货币支付:据newswire消息,加拿大数字货币支付企业NetCents近日宣布,将面向加拿大及欧洲市场推出一个NetCents品牌数字货币信用卡。该信用卡可以在全球范围内的40万家商户中使用。该公司将调整其商户即时结算技术,将资金从数字货币转换为法定货币,允许用户在接受Visa或MasterCard支付的商家使用数字货币。[2018/8/24]

Token合约:

0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76

被攻击合约:

0x2320a28f52334d62622cc2eafa15de55f9987ed9

攻击合约:

0xb480Ac726528D1c195cD3bb32F19C92E8d928519

攻击者:

0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

交易截图

首先攻击者通过uniswapV2call2次调用受攻击的目标合约中的mintAddressLock函数。

该mintAddressLock函数用于查询并向目标铸造NFT,并且nextid会在铸造NFT后进行更新。

攻击者第一次调用mintAddressLock函数铸造了2个ID为1027的Token为后续攻击做准备,随后再次调用mintAddressLock铸造了3600个ID为1028的Token,在mint函数完成前攻击者重入了depositAdditionalToFNFT函数,由于NFTnextId在mint函数铸造NFT完成并通知后进行更新,此时的nextId仍然为1028,并且合约并未验证1028的Token数量是否为0,因此攻击者再次成功地铸造了1个ID为1031的Token,完成了攻击。

2?总结建议

此次攻击中的铸币相关函数未严格按照检查-生效-交互模式设计,且未考虑到ERC1155token转账重入的可能性。

建议在合约设计时严格按照检查-生效-交互模式设计,并在ERC1155token相关DeFi项目中加入防重入的功能。

截止目前为止,攻击者仍然未将资产进行转移,成都链安将持续进行监控。

攻击者地址:

https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58

标签:KENTOKETOKENTOKOursTokenimtoken币不见了Universidad de Chile Fan TokenSweep Token

火币网下载官方app热门资讯
金色学院前沿课第三讲:以太坊Layer2最新策略与趋势

金色学院前沿课第三讲:以太坊Layer2最新策略与趋势 课程介绍: 早在2008年时候中本聪发明比特币,区块链只是为了保证比特币系统稳定运行的技术手段.

SEC:泰国SEC阐明其在上线和监管实用型代币方面的立场_Sakai Vault

3月21日消息,泰国SEC在周一举行了一场在线会议,讨论对即用类实用型代币的监管。SEC助理秘书长JomkwanKongsakul解释说,实用型代币是用来交换商品和服务的,SEC不会集中监管用于.

加密货币:美财长耶伦态度软化?称加密货币创新「可能有好处」_加密货币相当于什么呢

美国财政部长珍妮特?耶伦从来都不是加密货币的支持者。在担任美联储主席后,她曾在2018年说过一句话:自己“不喜欢”比特币,原因是该网络上的交易缺乏,而且据称非法交易过多.

PHO:微博接入TopHolder 数字藏品走向社交化?_元宇宙币价格今日行情

火爆的数字藏品,正在“攻入”社交平台。3月17日,数字藏品资深玩家王子健注意到,大V@天才小熊猫在微博上发布了数字藏品《奔跑》.

TOP:金色前哨 | 美联储主席鲍威尔:考虑解决围绕数字资产的监管缺口_NFT

外媒消息指出,美联储主席杰罗姆·鲍威尔周三表示,金融领域的数字创新将继续存在,与此同时,需要制定新的监管规定.

WAR:个人买卖虚拟货币违法吗?_REV

不管是抱着什么目的,不少人都在虚拟货币领域有所涉猎,甚至是持有一些币种。随着政策形式的变化,有些人开始担心,我买卖虚拟货币违法吗?实际上,在网络上关于这一问题的探究还真不少.