比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > AVAX > Info

NFT:ERC1155的重入攻擊又“現身”:Revest Finance被攻擊事件簡析_H56 Token

Author:

Time:1900/1/1 0:00:00

2022年3月27日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi協議Revest Finance遭到黑客攻擊,損失約12萬美元。

據悉,Revest Finance是針對DeFi領域的staking的解決方案,用戶通過Revest Finance參與任何DeFi的staking,都可以直接創建生成一個NFT(該NFT包含了這個staking倉位的當前以及未來價值)。

在攻擊發生之后,項目方官方發推表示他們以太坊合約遭受了攻擊,目前已采取措施確保所有鏈中的剩余資金安全。

Curve Finance:舊pBTC池已棄用,池內仍剩少量資金系ERC-777設計影響:金色財經報道,針對安全團隊Decurity發現Curve Finance平臺另一個安全漏洞,部分代幣市場智能合約使用ERC-777 Callback或引發重入攻擊安全隱患,且已有機器人利用該漏洞獲利約1900美元,對此Curve Finance官推回應稱,舊pBTC流動性池目前已被棄用,“仍然”剩下一些少量的資金是由于ERC-777設計問題造成。[2023/8/3 16:15:44]

成都鏈安技術團隊對此事件進行了相關簡析。

電子商務巨頭Mercado Libre宣布本月將推出加密服務:12月3日消息,電子商務巨頭Mercado Libre周四宣布,正在整合Paxos的區塊鏈基礎設施,以允許巴西用戶購買、出售和持有加密貨幣。Mercado Libre數字錢包Mercado Pago用戶在本月晚些時候開始,將可以購買和出售BTC、ETH、USDP,交易所需的最低金額為1巴西雷亞爾。Paxos將為Mercado Pago用戶處理加密交易和托管。(CoinDesk)[2021/12/3 12:47:33]

地址列表

Token合約:

0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76

動態 | ERC-20 AE代幣三個階段遷移均已結束:據官方消息,Aeternity ERC-20代幣三個階段遷移均已經結束,所有以太坊AE代幣都將變為不用。[2019/9/5]

被攻擊合約:

0x2320a28f52334d62622cc2eafa15de55f9987ed9

0xb480Ac726528D1c195cD3bb32F19C92E8d928519

攻擊者:

0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

幣安官推提醒:不要打開名為“ERC20 Token Import”的郵件:據幣安推特消息,他們收到報告稱有一封名為“ERC20 Token Import”的郵件偽裝成幣安官方,盜竊用戶個人錢包(而非用戶在幣安的賬戶),并強烈建議用戶不要給出自己的私鑰。[2018/3/26]

交易截圖

首先攻擊者通過uniswapV2call 2次調用受攻擊的目標合約中的mintAddressLock函數。

該mintAddressLock函數用于查詢并向目標鑄造NFT,并且nextid(FNFTHandler.fnftsCreated)會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備,隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token,在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數[ERC1155 onERC1155Received 重入],由于NFT nextId(FNFTHandler.fnftsCreated)在mint函數鑄造NFT完成并通知后進行更新,此時的nextId仍然為1028,并且合約并未驗證1028的Token數量是否為0,因此攻擊者再次成功地鑄造了1個ID 為1031的Token,完成了攻擊。

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計,且未考慮到ERC1155 token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計,并在ERC1155 token相關DeFi項目中加入防重入的功能。

截止目前為止,攻擊者仍然未將資產進行轉移,成都鏈安將持續進行監控。

攻擊者地址:

https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58

Tags:NFTKENTOKENTOKsnft幣最新消息H56 TokenBanana TokenLimeWire Token

AVAX
馬斯克:馬斯克入主推特如何影響加密行業?_DOGE

4月4日,特斯拉創始人埃隆·馬斯克(Elon Musk)收購推特9.2%的股份后,一躍成為推特的最大股東.

1900/1/1 0:00:00
AND:從500萬美金被賤賣到如今價值36億美元 The Sandbox如何做到的?_sand幣最新消息

“元宇宙的開拓者”是我們針對元宇宙的發展而設立的專欄,主要面向那些深挖元宇宙產業或者在元宇宙進行“淘金”的從業者,分享這些企業或者創業者們的故事.

1900/1/1 0:00:00
OSM:Bankless:盤點Cosmos生態5個值得關注的項目_osmosis幣想要實現什么

圖源:Logan Craig2021年在很大程度上是由Layer-1的崛起決定的。繼以太坊在2020年夏天崛起后,Solana、Terra、Avalanche和Fantom等區塊鏈在網絡活動和其.

1900/1/1 0:00:00
NFT:十點路徑:教你如何成為一個NFT圈內人士_Energy Web Token

當前隨著 BAYC、迪士尼等各種相關的事物持續破圈,互聯網世界、投資圈中最火的概念,恐怕就是 NFT 了.

1900/1/1 0:00:00
比特幣:貝萊德致投資者的信:全球化時代終結 供應鏈重塑將推高通脹_數字貨幣交易所開發工作如何

3月24日周四,貝萊德掌門人拉里芬克在致投資者的信中警告稱,俄烏沖突將重塑世界經濟,促使企業撤出全球供應鏈,從而進一步推高通脹。他表示:信中,拉里芬克還闡述了自己對能源及數字貨幣的看法.

1900/1/1 0:00:00
VIBE:高于meme的Vibe Web3世界不可缺少的元素_VIB

「你聽說過 Vibe 風嗎?」如果你是一位潮流圈的玩家,過去 2 年你可能聽過,甚至追隨過這個潮流.

1900/1/1 0:00:00
ads