老调重弹，ERC1155的重入攻击又“现身”，Revest Finance被攻击事件简析-ODAILY

作者：

时间：1900/1/1 0:00:00

2022年3月27日，成都链安链必应-区块链安全态势感知平台舆情监测显示，DeFi协议RevestFinance遭到黑客攻击，损失约12万美元。

据悉，RevestFinance是针对DeFi领域的staking的解决方案，用户通过RevestFinance参与任何DeFi的staking，都可以直接创建生成一个NFT。

在攻击发生之后，项目方官方发推表示他们以太坊合约遭受了攻击，目前已采取措施确保所有链中的剩余资金安全。

成都链安技术团队对此事件进行了相关简析。

#1分析如下

地址列表

Token合约：0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76被攻击合约：0x2320a28f52334d62622cc2eafa15de55f9987ed9攻击合约：0xb480Ac726528D1c195cD3bb32F19C92E8d928519攻击者：0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

NFT借贷平台Astaria推出封闭测试版:金色财经报道，NFT借贷平台Astaria宣布推出封闭测试版，LSD NFT持有者可以在封闭测试期间以其代币为抵押借入0.1ETH。Astaria表示，其核心功能包括即时流动性、有竞争力的收益率和贷款条件以及没有强制清算，只有当借款人的贷款到期且未偿还债务时，借款人才能被清算。[2023/4/28 14:32:14]

去中心化社交协议Nostr账户总量突破100万:金色财经报道，据 Nostr.Band 数据显示，去中心化社交协议 Nostr 账户数已突破 100 万，其中在主页设置个人简介的账户数接近 57 万。历史数据显示，2 月 1 日 Nostr 协议第三方客户端 Damus 发布后账户数为 558,188 个，这意味着自 Damus 发布至今 Nostr 协议账户数已增长近一倍。[2023/2/11 12:00:49]

交易截图

首先攻击者通过uniswapV2call2次调用受攻击的目标合约中的mintAddressLock函数。

欧易OKX更新以太坊合并升级处理方案，若以太坊分叉将按比例空投分叉币:9月14日消息，据欧易OKX公告显示，针对预计将在9月15日10:00完成以太坊合并计划，欧易预计为9月14日23:00(HKT)暂停ETH及其它ERC-20网络代币的充值、提现。若以太坊合并升级后未产生新代币，欧易将在确认以太坊主网稳定后开放ETH及其他代币的充值、提现及跨链桥相关业务；若以太坊升级产生新链，欧易将视采用PoS的以太坊网络代币为ETH，采用PoW的以太坊网络代币为分叉币。欧易将于以太坊完成升级时对用户的交易账户、资金账户、金融业务内ETH权益进行快照，按照1:1的比例空投分叉币给用户。此外，欧易将在以太坊完成合并升级前暂停ETH的资金划转操作，待快照结束后开启，预计暂停十分钟。

另外，如用户在以太坊分叉前，创建欧易Web3钱包并存入以太坊资产或导入已有以太坊资产的钱包，在以太坊分叉后，获得ETHW分叉资产地址，还将额外获得等额 10,000 次OKC 交易Gas的OKT 空投；OKC将全面支持所有可能产生的以太坊分叉资产，如用户已在 OKC 上持有 ETH，即能获得等量的 ETHW 资产。[2022/9/14 13:28:52]

该mintAddressLock函数用于查询并向目标铸造NFT，并且nextid会在铸造NFT后进行更新。

美联储主席鲍威尔：将继续采取强硬措施遏制通胀:9月9日消息，当地时间9月8日，美联储主席鲍威尔在卡托研究所（Cato Institute）第40届年度货币会议上表示，为了抑制通胀，将继续采取强硬措施，以遏制物价上涨压力。鲍威尔此番言论暗示美联储很可能会继续大幅加息，大多数投资者预计美联储将在本月稍晚召开的政策制定会议上加息75个基点。[2022/9/9 13:17:54]

攻击者第一次调用mintAddressLock函数铸造了2个ID为1027的Token为后续攻击做准备，随后再次调用mintAddressLock铸造了3600个ID为1028的Token，在mint函数完成前攻击者重入了depositAdditionalToFNFT函数，由于NFTnextId在mint函数铸造NFT完成并通知后进行更新，此时的nextId仍然为1028，并且合约并未验证1028的Token数量是否为0，因此攻击者再次成功地铸造了1个ID为1031的Token，完成了攻击。