宇宙链 宇宙链
Ctrl+D收藏宇宙链

ERC1155的重入攻击又“现身”:Revest Finance被攻击事件简析

作者:

时间:1900/1/1 0:00:00

2022年3月27日,成都链安链必应-区块链安全态势感知平台舆情监测显示,DeFi协议RevestFinance遭到黑客攻击,损失约12万美元。

据悉,RevestFinance是针对DeFi领域的staking的解决方案,用户通过RevestFinance参与任何DeFi的staking,都可以直接创建生成一个NFT。

在攻击发生之后,项目方官方发推表示他们以太坊合约遭受了攻击,目前已采取措施确保所有链中的剩余资金安全。

Republic Crypto和Upside推出ERC-1404 Prime作为未来的证券代币化标准:金色财经报道,当代币化证券的发行人需要限制谁可以持有代币以及将代币发送到哪里时,一个已有四年历史的名为ERC-1404的以太坊智能合约框架就开始发挥作用。这一流行的标准现在正在升级。咨询公司Republic Crypto和代币制造商Upside开发了一个名为ERC-1404 Prime的增强版本,两家公司押注该版本将作为在以太坊区块链上发行符合监管要求的资产的新基础。

对于代表股票、房地产和其他受复杂投资者规则约束的资产的加密货币来说,护栏尤其重要。这些“安全代币”的发行者使用ERC-1404来确保他们不违反法律,例如,防止代币转移给未经认可或授权的投资者。[2023/6/29 22:06:47]

成都链安技术团队对此事件进行了相关简析。

欧易Web3钱包支持通过Visa、Mastercard购买数字货币:金色财经报道,欧易 Web3 钱包已于 2023 年 2 月 21 日正式上线使用信用卡购买数字货币功能。现支持通过 Visa、Mastercard 信用卡/借记卡购买包括 BTC、ETH 等超过 50 种数字货币到钱包。功能已同步上线 iOS 和安卓手机应用。[2023/2/21 12:19:47]

链游LoserChick已在Polygon主网上集成Chainlink VRF:10月11日消息,链游LoserChick已经在Polygon主网上集成Chainlink可验证随机函数(VRF)。通过集成Chainlink去中心化预言机网络,LoserChick现在可以访问防篡改和可审计的随机性来源,从而将NFT Drop随机分配给用户。[2021/10/11 20:21:25]

1分析如下

地址列表

Token合约:

0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76

被攻击合约:

0x2320a28f52334d62622cc2eafa15de55f9987ed9

声音 | Mt.Gox前CEO:与Coinlab和Brock Pierce之间的交易从未实现:Mt. Gox前CEO Mark Karpeles称,Mt. Gox与Coinlab的最初协议要求,Coinlab在美国运营Mt. Gox业务时需获得合规,但Coinlab并未达到要求,因此交易搁浅。此外,Karpeles表示,Sunlot Holdings曾两度联系Mt. Gox,在交易所破产后希望接管破产程序,但Mt. Gox与其之间的交易从未真正通过意向书阶段,最终未能获得东京地区法院的批准。[2019/2/25]

攻击合约:

0xb480Ac726528D1c195cD3bb32F19C92E8d928519

攻击者:

动态 | 枭兄弟推出一种基于ERC-20的以太坊稳定币:臭名昭著的枭Pablo Escobar的亲兄弟Roberto Escobar推出了一种基于ERC-20的以太坊稳定币ESCOBAR,据称将与美元挂钩。该项目的推出是为了避免再次被特朗普政府关闭。ESCOBAR目前正在进行ICO,预售2亿枚代币,ICO将持续到5月10日。[2019/1/12]

0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

交易截图

首先攻击者通过uniswapV2call2次调用受攻击的目标合约中的mintAddressLock函数。

该mintAddressLock函数用于查询并向目标铸造NFT,并且nextid会在铸造NFT后进行更新。

攻击者第一次调用mintAddressLock函数铸造了2个ID为1027的Token为后续攻击做准备,随后再次调用mintAddressLock铸造了3600个ID为1028的Token,在mint函数完成前攻击者重入了depositAdditionalToFNFT函数,由于NFTnextId在mint函数铸造NFT完成并通知后进行更新,此时的nextId仍然为1028,并且合约并未验证1028的Token数量是否为0,因此攻击者再次成功地铸造了1个ID为1031的Token,完成了攻击。

2?总结建议

此次攻击中的铸币相关函数未严格按照检查-生效-交互模式设计,且未考虑到ERC1155token转账重入的可能性。

建议在合约设计时严格按照检查-生效-交互模式设计,并在ERC1155token相关DeFi项目中加入防重入的功能。

截止目前为止,攻击者仍然未将资产进行转移,成都链安将持续进行监控。

攻击者地址:

https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58

标签:TOKENKENTOKETOKNothing TokenSamoyed Fan TokenAxioma TokenRacing Club Fan Token

以太坊最新价格热门资讯
一文详解web3团队最难破解的问题

随着2021年web3行业的指数级增长,注意力之战已经真正打响。然而,这场战斗是在多条战线上进行的。一方面,团队发现吸引顶尖人才越来越难,经验丰富的开发人员的薪水飞涨.

1900/1/1 0:00:00
对 NFT 感到愤怒?大可不必

“你每生气一分钟,就失去六十秒的幸福。”—RalphWaldoEmerson1月底,我最喜欢的互联网内容制作人之一DanOlson(又名FoldingIdeas)发布了一个标题为《LineGoesUp》的视频,概述了他对NFT(非同质.

1900/1/1 0:00:00
DEX和KYC:究竟是水火不容 还是可以兼得?

以色列连续创业者ArielShapira在他每月的加密技术专栏中报道关于加密货币、去中心化金融和区块链领域的新兴技术,以及它们在塑造21世纪经济中的作用。白宫最近发布了一项关于监管加密货币的行政命令.

1900/1/1 0:00:00
亚马逊推出了一款画风清奇的“元宇宙”游戏 居然还挺上头

为了教大家用AWS,亚马逊的路子也越来越野了之前被疯狂炒作的元宇宙最近大有一种要熄火的态势,而此前并没有跟着炒作吆喝的亚马逊,却在上周却“逆势”推出了一款带有元宇宙色彩的游戏.

1900/1/1 0:00:00
为解决环境问题 比特币矿工建造再生能源驱动的工厂

本文由”老雅痞laoyapicom“授权转载在德克萨斯州乡村深处一条泥泞的道路上,加密货币公司ArgoBlockchain正在为互联网时代建造一座发电厂:这是一个加密货币“挖矿”据点,里面存放着生成新比特币的计算机.

1900/1/1 0:00:00
GameFi等趣味金融2.0构想:高性能的去中心化方案

本文通过解析GameFi领域的数据表现及现状,提出了一套无中心化服务器,完全由智能合约控制的高性能GameFi解决方案.

1900/1/1 0:00:00