以太坊:ERC1155的重入攻击又“现身”:Revest Finance被攻击事件简析

2022年3月27日,成都链安链必应-区块链安全态势感知平台舆情监测显示,DeFi协议RevestFinance遭到黑客攻击,损失约12万美元。

据悉,RevestFinance是针对DeFi领域的staking的解决方案,用户通过RevestFinance参与任何DeFi的staking,都可以直接创建生成一个NFT。

在攻击发生之后,项目方官方发推表示他们以太坊合约遭受了攻击,目前已采取措施确保所有链中的剩余资金安全。

Mercadolibre旗下数字支付公司Mercado Pago扩大面向巴西客户的加密服务:6月29日消息,拉美最大电子零售商之一Mercadolibre旗下数字支付公司Mercado Pago宣布将扩大去年11月推出的针对巴西客户的加密相关服务。

该公司透露,现在将允许客户通过第三方服务和钱包将加密货币存入他们的加密货币数字钱包,无需相关成本。(Bitcoin.com)[2022/6/29 1:38:54]

成都链安技术团队对此事件进行了相关简析。

BiKi已支持SGB(SubGame)在ERC20、HECO网络的充提合并:据BiKi官方公告,为满足用户的资产跨链需求,BiKi平台已支持SGB(SubGame)在ERC20、HECO网络的充提合并,HECO网络充提地址已更新,请用户在充提时选择对应网络并复制新的地址。

SubGame是一个面向全球众多开发者参与波卡生态建设的游戏和支付模组引擎平行链。SubGame采用Subscript为底层语言,沿用了Javascript的语法,并在Assembly Script中完成了对Substrate智能合约API和SDK的封装。简单来说,Subscript实现了支持任何Web开发者快速入手部署波卡原生智能合约的能力。[2021/5/8 21:37:40]

1分析如下

动态 | Emercoin与Infopulse合作开发区块链技术:据cryptoninjas消息,区块链应用平台Emercoin与国际软件开发公司于15日签署合作协议,共同发展高端解决方案,并在公司和开发社区之间推广区块链。Infopulse营销副总裁表示,将结合以往经验,把Emercoin技术融入到公共区块链功能所需的解决方案开发中。[2018/8/16]

地址列表

Token合约:

0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76

被攻击合约:

EOS联合创始人Brock Pierce离职:据EOS.io致John Oliver的公开信中提到,EOS联合创始人Brock Pierce现已离职。“Brock Pierce是Block.one的早期顾问,为EOS.io项目的推广做出了重大贡献。他曾经在以太坊、Blockchain Capital和比特币基金会主席等工作经验对EOS.io发展十分重要。正如我们上周提到的,我们最近达成了一项共识,即Brock将在Block.one结束其职位,投入到独立的社区建设和投资活动。”[2018/3/17]

0x2320a28f52334d62622cc2eafa15de55f9987ed9

攻击合约:

0xb480Ac726528D1c195cD3bb32F19C92E8d928519

攻击者:

0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

交易截图

首先攻击者通过uniswapV2call2次调用受攻击的目标合约中的mintAddressLock函数。

该mintAddressLock函数用于查询并向目标铸造NFT,并且nextid会在铸造NFT后进行更新。

攻击者第一次调用mintAddressLock函数铸造了2个ID为1027的Token为后续攻击做准备,随后再次调用mintAddressLock铸造了3600个ID为1028的Token,在mint函数完成前攻击者重入了depositAdditionalToFNFT函数,由于NFTnextId在mint函数铸造NFT完成并通知后进行更新,此时的nextId仍然为1028,并且合约并未验证1028的Token数量是否为0,因此攻击者再次成功地铸造了1个ID为1031的Token,完成了攻击。

2?总结建议

此次攻击中的铸币相关函数未严格按照检查-生效-交互模式设计,且未考虑到ERC1155token转账重入的可能性。

建议在合约设计时严格按照检查-生效-交互模式设计,并在ERC1155token相关DeFi项目中加入防重入的功能。

截止目前为止,攻击者仍然未将资产进行转移,成都链安将持续进行监控。

攻击者地址:

https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

火币下载CAT:风险业务:什么是流动性挖矿?

流动性挖矿涉及在智能合约中存入加密资产,以换取收益 流动性挖矿可能涉及相当大的风险。本文仅用于教育目的,不应被视为财务建议。在做出任何投资决定之前,请考虑您的个人风险状况.

火必下载元宇宙:北京第一个元宇宙母基金要来了

如果没有意外,这也将是国内第一支元宇宙基金。千呼万唤始出来,北京第一支元宇宙母基金要来了。投资界—解码LP从北京市通州区金融办平台获悉,经区政府同意,印发《关于加快北京城市副中心元宇宙创新引领发.

[0:0ms0-3:979ms