月亮链 月亮链
Ctrl+D收藏月亮链
首页 > Polygon > 正文

NFT:ERC1155的重入攻击又“现身”:Revest Finance被攻击事件简析_Smart Reward Token

作者:

时间:1900/1/1 0:00:00

2022年3月27日,成都链安链必应-区块链安全态势感知平台舆情监测显示,DeFi协议Revest Finance遭到黑客攻击,损失约12万美元。

据悉,Revest Finance是针对DeFi领域的staking的解决方案,用户通过Revest Finance参与任何DeFi的staking,都可以直接创建生成一个NFT(该NFT包含了这个staking仓位的当前以及未来价值)。

在攻击发生之后,项目方官方发推表示他们以太坊合约遭受了攻击,目前已采取措施确保所有链中的剩余资金安全。

Uniswap为乌克兰捐赠构建便捷界面,任意ERC-20代币均可自由捐赠:3月1日消息,Uniswap 官方发推称,已构建了一个界面,可以将任意 ERC-20 代币换成 ETH,然后在一次交易中直接将其发送给乌克兰政府。因为此前“乌克兰政府共享的地址是一个只接受 USDT 和 ETH 的中心化交易所,因此我们构建了这个界面,任何想要捐赠但持有其他 ERC-20 代币的人都可以一键完成支持”。[2022/3/1 13:30:27]

成都链安技术团队对此事件进行了相关简析。

1亿枚USDT完成从TRC20到ERC20的链上转换:Whale Alert数据显示,北京时间4月14日17:29,波场链上1亿枚USDT从Bitfinex转入Tether Treasury。Tether首席技术官Paolo Ardoino表示,这是进行从TRC20换至ERC20的链互换。[2021/4/14 20:19:05]

地址列表

Token合约:

0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76

被攻击合约:

0x2320a28f52334d62622cc2eafa15de55f9987ed9

比特币出现极端行情,币安交易平台暂停ERC20 提现:今晚极端行情下,币安交易平台出现暂停出金情况。根据币安官方App显示,目前 ERC20 出金暂停,TRC20以及Omni出金暂无问题。据币安客服在社群内表示,出金暂停是由于出现短时极端行情,因为暂停了提现。目前币安尚未发出官方声明,提现仍未开放。(区块律动)[2020/3/12]

0xb480Ac726528D1c195cD3bb32F19C92E8d928519

攻击者:

0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

Beazley宣布与Bitfury、Emercoin合作开发保险注册管理平台:根据InsuranceJournal的报道,保险公司Beazley宣布与三家公司合作,建立基于区块链的注册管理平台,以管理大规模击事件等突发恶性事件的保险。合作公司包括Bitfury集团,Emercoin等知名区块链科技公司。[2018/5/1]

交易截图

首先攻击者通过uniswapV2call 2次调用受攻击的目标合约中的mintAddressLock函数。

该mintAddressLock函数用于查询并向目标铸造NFT,并且nextid(FNFTHandler.fnftsCreated)会在铸造NFT后进行更新。

攻击者第一次调用mintAddressLock函数铸造了2个ID为1027的Token为后续攻击做准备,随后再次调用mintAddressLock铸造了3600个ID为1028的Token,在mint函数完成前攻击者重入了depositAdditionalToFNFT函数[ERC1155 onERC1155Received 重入],由于NFT nextId(FNFTHandler.fnftsCreated)在mint函数铸造NFT完成并通知后进行更新,此时的nextId仍然为1028,并且合约并未验证1028的Token数量是否为0,因此攻击者再次成功地铸造了1个ID 为1031的Token,完成了攻击。

此次攻击中的铸币相关函数未严格按照检查-生效-交互模式设计,且未考虑到ERC1155 token转账重入的可能性。

建议在合约设计时严格按照检查-生效-交互模式设计,并在ERC1155 token相关DeFi项目中加入防重入的功能。

截止目前为止,攻击者仍然未将资产进行转移,成都链安将持续进行监控。

攻击者地址:

https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58

标签:NFTTOKRC20C20SHIBANFTSmart Reward Tokenerc20币的类型brc20铭刻

Polygon热门资讯
NFT:朱嘉明:数字经济和非同质时代——NFT_区块链域名谁在管理

编者按:2022年3月26日, ForeChain与零壹智库主办“数字藏品的全球趋势与中国创新——全球数字藏品年度报告发布会”.

1900/1/1 0:00:00
NFT:金色观察|一文读懂ERC721R以及相关标准项目_SWISSNFTFUND

4月11日,ERC721R代币标准正式发布。该标准在NFT智能合约中增加了去信任的退款设计,允许铸造者在给定的期限内退还按成本铸造的NFT,并获得相应退款.

1900/1/1 0:00:00
NFT:三星开发全球首个让用户感知Web3的智能电视_NIFT

三星在创新方面又向前迈进了一大步,将NFT平台纳入了其新的智能电视系列,让消费者能够在自己的家中感受到Web3的热情.

1900/1/1 0:00:00
BDC:解读BIS多国央行数字货币互通计划“邓巴项目”(一):平台设计_ETF

"邓巴项目"(Project Dunbar)是国际清算银行(BIS)创新中心与澳大利亚储备银行(RBA)、马来西亚中央银行(BNM)、新加坡金融管理局(MAS)和南非储备银行(SARB)共同合作.

1900/1/1 0:00:00
NFT:无聊猿与Punk配对生娃 250+对新晋父母已就绪_Baby Profit Blue

CryptoPunks持有者和Bored Ape Yacht Club(无聊猿)持有者可以配对免费生出(Mint)2个Rich Baby,每个持有者各得1个Rich Baby.

1900/1/1 0:00:00
WEB:互联网还会变好吗?极客精神与 Web 3_区块链存证怎么弄

“虽然瞧不上 Web 3 的很多东西,但一个没有人关心 Web 3 的世界更令我害怕。”什么才是更好的互联网?很多人会回答:Web 3。这个概念太火爆,躲都躲不开.

1900/1/1 0:00:00