Reaper Farm遭到恶意利用，损失160万美元事件分析-ODAILY

北京时间2022年8月2日13点，CertiK安全团队监测到ReaperFarm的ReaperVaultV2合约被恶意利用，导致了价值超过160万美元的损失。

Blockstream：将自主开发比特币矿机:金色财经报道，比特币基础设施提供商 Blockstream 在社交媒体公布了 2023 年发展计划，包括拓展机构托管服务、将自主开发比特币矿机、以及探索可再生能源挖矿。

此前报道，Blockstream于一月底宣布完成 1.25 亿美元的可转换票据和担保贷款融资，以扩大其机构比特币挖矿托管服务。该公司首席执行官 Adam Back 透露其 2022 年收入强劲，比 2021 年增长了三倍。[2023/2/2 11:44:02]

攻击者利用ReaperVaultV2合约中的一个漏洞——可以销毁其他用户的vaultshare并提取代币，以此从多个vault提取了大量的代币。

动态 | 加拿大比特币交易所Bull Bullcoin加入Blockstream的Liquid交易网络:据CoinDesk 9月16日消息，Blockstream的Liquid交易网络刚刚加入另一个加密合作伙伴，即加拿大比特币交易所Bull Bullcoin。新的合作伙伴关系将允许Bull Bitcoin的用户与网络上的其他交易所进行互动。Blockstream 首席战略官 Samson Mow 表示 ，目前 Liquid 网络大约有 30 个成员，包括 Bitfinex、BITMex、OKCoin 等交易所，网络上流动资产总计 90 万美元。同时，作为合作的一部分，Bull Bitcoin 将在 Liquid 网络上发行资产 L-CAD，该代币是与加元挂钩，可被用于该交易所比特币购买折扣券。[2019/9/16]

截至北京时间2022年8月3日8点，160万DAI、62ETH以及200Matic已被存入TornadoCash。

Salesforce首席执行官：将于秋季Dreamforce大会上推出区块链产品:Salesforce.com首席执行官Marc Benioff表示，希望能在今年秋季Dreamforce大会上推出区块链产品。[2018/3/29]

攻击步骤

①攻击者部署了一个攻击者合约，通过该合约，攻击者可在一次交易中从Reapervault提取多个用户的资产。

②ReaperVaultV2合约并未检查shareowner与messagesender之间的关系，因此攻击者可以多次通过攻击者合约提取vault用户的资产。

③攻击者将从金库提取的代币换成DAI、ETH和Matic，并将其存入TornadoCash。

漏洞交易

漏洞交易之一：

https://ftmscan.com/tx/0xc929f3b9312ff26be0adb1c3ff832dbdafdcbcaad33d002744effd515e53c9d5

其余漏洞交易:

https://ftmscan.com/address/0x5636e55e4a72299a0f194c001841e2ce75bb527a

漏洞分析

在ReaperVaultV2合约的`withdraw()`函数中，vaultshare所有者可以是msg.sender以外的账户。同时，所有者与msg.sender之间的关系或是allowance未被选中，意味着人们可以从vault提取其他用户的资产。

写在最后

本次攻击事件本可通过审计发现「缺乏访问控制」这一风险因素。该风险因素将被归类于严重等级的风险。

而除审计外，CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。

标签：REAVAULTULT比特币STREAM价格BAYC Vault (NFTX)ult币行情最新价格比特币走势图最新今日价格

Bitcoin热门资讯