宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > TRX > 正文

ERC1155的重入攻击又“现身”:Revest Finance被攻击事件简析

作者:

时间:1900/1/1 0:00:00

2022年3月27日,成都链安链必应-区块链安全态势感知平台舆情监测显示,DeFi协议Revest Finance遭到黑客攻击,损失约12万美元。

据悉,Revest Finance是针对DeFi领域的staking的解决方案,用户通过Revest Finance参与任何DeFi的staking,都可以直接创建生成一个NFT(该NFT包含了这个staking仓位的当前以及未来价值)。

在攻击发生之后,项目方官方发推表示他们以太坊合约遭受了攻击,目前已采取措施确保所有链中的剩余资金安全。

Coinbase拟收购巴西最大加密交易所Mercado Bitcoin的控股公司2TM Group:3月28日消息,据当地报纸 Estad?o 报道,加密交易所 Coinbase 正在谈判收购巴西最大加密交易所 Mercado Bitcoin 的控股公司 2TM Group,消息人士透露 Coinbase 和 2TM 之间的谈判自去年以来一直在进行,协议可能会在 4 月下旬宣布。注,Mercado Bitcoin 在 2021 年客户达到 320 万,交易量达到 71 亿美元。[2022/3/28 14:21:32]

成都链安技术团队对此事件进行了相关简析。

zkSync支持以任何ERC20代币支付Gas费用:3月10日消息,据官方推特,基于ZK Rollups的以太坊扩容方案zkSync升级2.0版本门户,包括支持以任何ERC20代币支付Gas费用而不限于ETH、添加区块浏览器等,用户可申请测试代币进行试用。此前消息,zkSync 2.0公共测试网于2月份正式上线。[2022/3/10 13:48:01]

地址列表

Token合约:

1inch钱包支持Mercuryo法币到加密网关解决方案:金色财经报道,据官方消息,链上交易聚合器1inch Network与跨境支付网络Mercuryo达成合作。1inch DeFi钱包已支持Mercuryo的法币到加密网关解决方案。据悉,Mercuryo允许用户在180多个国家或地区使用银行卡、Apple Pay和Google Pay的一键式付款方式来购买ETH、DAI及USDT。[2021/5/28 22:50:54]

0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76

被攻击合约:

动态 | Mercury Digital Assets在欧洲启用了新的流动资金池:金色财经报道,欧洲的交易者和投资者将可以使用全球银行服务和加密资产托管服务。Mercury Digital Assets与UniCrypt Group合作开发了针对欧洲交易者的新流动资金池。这种合作是为了确保交易者拥有与资本市场相似的工具。Mercury Digital为数字资产市场提供技术解决方案,而UniCrypt则专注于提供高性能管理和托管服务。(fxstreet)[2019/11/1]

0x2320a28f52334d62622cc2eafa15de55f9987ed9

0xb480Ac726528D1c195cD3bb32F19C92E8d928519

攻击者:

0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

交易截图

首先攻击者通过uniswapV2call 2次调用受攻击的目标合约中的mintAddressLock函数。

该mintAddressLock函数用于查询并向目标铸造NFT,并且nextid(FNFTHandler.fnftsCreated)会在铸造NFT后进行更新。

攻击者第一次调用mintAddressLock函数铸造了2个ID为1027的Token为后续攻击做准备,随后再次调用mintAddressLock铸造了3600个ID为1028的Token,在mint函数完成前攻击者重入了depositAdditionalToFNFT函数[ERC1155 onERC1155Received 重入],由于NFT nextId(FNFTHandler.fnftsCreated)在mint函数铸造NFT完成并通知后进行更新,此时的nextId仍然为1028,并且合约并未验证1028的Token数量是否为0,因此攻击者再次成功地铸造了1个ID 为1031的Token,完成了攻击。

此次攻击中的铸币相关函数未严格按照检查-生效-交互模式设计,且未考虑到ERC1155 token转账重入的可能性。

建议在合约设计时严格按照检查-生效-交互模式设计,并在ERC1155 token相关DeFi项目中加入防重入的功能。

截止目前为止,攻击者仍然未将资产进行转移,成都链安将持续进行监控。

攻击者地址:

https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58

标签:NFTMERCMERTOKnftb币有没有投资价值MERCEVCGamersDOGES Token

TRX热门资讯
理性看待NFT与元宇宙 这是科技进步的根本

炒作完区块链就换个更新的概念,搭载元宇宙炒作NFT。基于区块链的NFT产品安全吗?我一直说,在互联网时代,所谓的信息安全就是个伪命题,没有绝对的安全。包括区块链与NFT在内,这些安全从本质上而言,只是说比当前的保密技术更进一步而已.

1900/1/1 0:00:00
金色观察 | Vitalik发文支持比特币最大主义(附全文)

4月1日,以太坊创始人Vitalik Buterin在个人博客发布文章《为比特币最大主义辩护》(In Defense of Bitcoin Maximalism)支持比特币最大主义.

1900/1/1 0:00:00
多图预警:忌跟风mint 三分之一的NFT都会烂在手里

原文:Nansen 作者:Darren Lim,Javier Gonzalez,Louisa ChoeNFT Minter(铸造者)的行为可以被视作短期市场走势的信号,就像我们观察矿工的行为来作为比特币价格的依据一样.

1900/1/1 0:00:00
大学苏宇:NFT需要“敏捷治理”

编者按 周杰伦4月1日上了热搜,有媒体报道,因为他持有的价值300多万元人民币的数字藏品BAYC #3738NFT被盗了。此事件让NFT虚拟资产的安全性以及监管问题再次被公众普遍关注.

1900/1/1 0:00:00
a16z:「社区可组合性」能否帮助Web2用户跃入Web3?

Web3 已经渗透到主流文化中,从帕丽斯·希尔顿(Paris Hiltion)在《今夜秀》上展示她的 NFT 到 ConstitutionDAO 试图购买仅存的美国宪法副本之一.

1900/1/1 0:00:00
经济观察报:为什么运动品牌纷纷进入元宇宙

元宇宙赛道就像早期的互联网,一开始大家看不懂,但等到能看懂的时候已经估值太高无法参与,目前来看,元宇宙是几亿美金的赛道,但是这个市场变化非常快,随着越来越多的玩家和消费者入局,“未来是一个没有天花板的市场”.

1900/1/1 0:00:00