ONE:慢霧：OMNI Protocol 被黑簡析_Metaverse.Network Pioneer

據慢霧安全團隊情報，2022年7月10號OMNIProtocol遭受閃電貸攻擊。慢霧安全團隊以簡訊形式分享如下：

1.攻擊者首先通過supplyERC721函數抵押doodle,抵押后合約會給攻擊者相應的憑證NToken

2.調用borrow函數借出WETH

3.調用withdrawERC721嘗試提取NFT,跟進到內部函數executeWithdrawERC721發現，提款會先通過burn函數去燃燒憑證

Vitalik發文表達對“人格生物特征證明”的看法:7月24日消息，以太坊聯合創始人Vitalik Buterin今日發表文章“What do I think about biometric proof of personhood?”以表達對人格生物特征證明的看法。他表示原則上，人格證明的概念似乎非常有價值，雖然各種實現方式都有其風險，但完全沒有任何人格證明也有其風險：沒有人格證明的世界似乎更有可能是一個由中心化身份解決方案、金錢、小型封閉社區或三者的某種組合主導的世界。

在許多人格證明項目中——不僅是Worldcoin，還有人類證明、Circles等——“旗艦應用程序”是內置的“N-per-person token”（有時稱為“UBI 代幣”）。每個在系統中注冊的用戶每天（或每小時或每周）都會收到一些固定數量的代幣。在許多這樣的情況下，共同的主線是希望創建開放和民主的機制，避免項目運營商的集中控制和最富有的用戶的統治。[2023/7/24 15:55:33]

而burn函數中的safeTransferFrom函數會去外部調用接收地址的OnERC721Received函數，攻擊者利用這點重入了合約的liquidationERC721函數

Web3游戲商務平臺Fungies.io開啟pre-seed輪融資:金色財經報道，Web3游戲商務平臺Fungies.io宣布開啟pre-seed輪融資，目標是在 2023 年 5 月底前完成該輪融資。此外，Fungies.io還宣布加入Outlier Ventures、CV Labs、以及Tatum Blockchain Accelerator加速器計劃。Fungies 目前已推出其Beta版平臺，該團隊現在專注于提供簡單易用的Website Builder以及Unity/Unreal SDK，以構建與網站同步的游戲內商店和市場，為游戲工作室提供工具來降低成本。（EINPresswire）[2023/3/6 12:44:58]

4.在liquidationERC721函數中，攻擊者先支付了WETH并接收doodlenft，接著通過判斷后會調用_burnCollateralNTokens函數去燃燒掉對應的憑證，同樣的利用了burn函數外部調用的性質攻擊者再次進行了重入操作,先是抵押了清算獲得的nft,接著調用borrow函數去借出了81個WETH，但由于vars變量是在liquidationERC721函數中定義的，因此第二次借款不會影響到liquidationERC721函數中對用戶負債的檢查,這導致了攻擊者可以通過userConfig.setBorrowing函數將用戶的借款標識設置為false即將攻擊者設置成未在市場中有借款行為。

盈透證券截至三季度末為客戶持有1億美元的加密資產:11月10日消息，據外媒報道，最大的股票交易平臺之一盈透證券 (Interactive Brokers：IBKR) 在第三季度收益報告中表示，公司使用第三方加密貨幣服務提供商 (CSP) 為客戶購買、出售和持有加密資產。

報告顯示：“截至2022年9月30日，在CSP中以客戶名義持有的加密資產的公允價值為1.01億美元（截至2022年1月1日為1.34億美元），其中包括5500萬美元的比特幣、4400萬美元的以太坊和200萬美元的其他加密資產。”（Trustnodes）[2022/11/10 12:41:42]

5.在提款時會首先調用userConfig.isBorrowingAny()函數去判斷用戶的借款標識，假如借款標識為false,則不會判斷用戶的負債，故此重入后的81WETH的負債并不會在提款時被判斷,使得攻擊者可以無需還款則提取出所有的NFT獲利

此次攻擊的主要原因在于burn函數會外部調用回調函數來造成重入問題，并且在清算函數中使用的是舊的vars的值進行判斷，導致了即使重入后再借款，但用戶的狀態標識被設置為未借款導致無需還款。慢霧安全團隊建議在關鍵函數采用重入鎖來防止重入問題。

攻擊交易：0x05d65e0adddc5d9ccfe6cd65be4a7899ebcb6e5ec7a39787971bcc3d6ba73996

來源：金色財經

Tags：ONEBURNNERBURMetaverse.Network PioneerKISHIBURNOgoldminer幣背后資金實力KISHIBURNO價格

火幣下載