月亮链 月亮链
Ctrl+D收藏月亮链

TOKE:ERC1155的重入攻击又“现身”:Revest Finance被攻击事件简析_bloomtoken

作者:

时间:1900/1/1 0:00:00

2022年3月27日,成都链安链必应-区块链安全态势感知平台舆情监测显示,DeFi协议RevestFinance遭到黑客攻击,损失约12万美元。

据悉,RevestFinance是针对DeFi领域的staking的解决方案,用户通过RevestFinance参与任何DeFi的staking,都可以直接创建生成一个NFT。

在攻击发生之后,项目方官方发推表示他们以太坊合约遭受了攻击,目前已采取措施确保所有链中的剩余资金安全。

加密基础设施Pimlico推出ERC-20 Paymaster,支持用ERC-20代币支付Gas费:5月17日消息,用于帐户抽象的加密基础设施 Pimlico 宣布推出 ERC-20 Paymaster,支持用 ERC-20 代币(如 USDC、DAI 等)支付 Gas 费。Pimlico 称其 ERC-20 Paymaster 进过全面审计且无需许可,支持有 Chainlink 支持的 EVM 链上的所有代币。此外,Pimlico 还为开发人员推出了 Typescript SDK。[2023/5/17 15:08:05]

成都链安技术团队对此事件进行了相关简析。

sudoswap下一次迭代更新将包括链上版税、ERC-1155支持等内容:金色财经报道,软件工程师cygaar宣布加入Sudorandom Labs并专注于NFT交易协议sudoswap开发。

cygaar表示,sudoswap下一次迭代更新内容将包括链上版税、ERC-1155支持等。[2023/3/24 13:23:42]

1分析如下

地址列表

Token合约:

0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76

被攻击合约:

0x2320a28f52334d62622cc2eafa15de55f9987ed9

受部分以太坊客户端共识问题影响,Bitstamp 和 Coinbase 已暂停 ETH 和 ERC-20 代币的存取款:4月15日消息,据交易所官方公告,因 OpenEthereum 客户端在以太坊柏林硬分叉升级后出现的共识问题,加密货币交易所 Bitstamp 和 Coinbase 已暂停 ETH 和 ERC-20 代币的存款和取款。同样使用 OpenEthereum 客户端的数字资产托管商 BitGo 和 Etherscan 也受到了影响。

OpenEthereum 客户端在以太坊“柏林”硬分叉后节点出现共识问题,区块高度 12244294 后不同步,团队正紧急诊断和修复问题。截至目前,其他以太坊客户端没有遇到该问题。[2021/4/15 20:24:15]

攻击合约:

Solana将发布名为Wormhole的以太坊 ERC-20代币连接桥:智能合约平台Solana即将发布一款以太坊 ERC-20代币去中心化连接桥。名为Wormhole的连接桥将允许用户在不同的区块链之间转移价值,从而将ERC-20代币转变为Solana的相应SPL标准。该桥梁目前正在由瑞士安全公司Kudelski进行审核。Solana首席执行官Anatoly Yakovenko表示,预计该产品将于10月底发布。(Cointelegraph)[2020/10/8]

0xb480Ac726528D1c195cD3bb32F19C92E8d928519

攻击者:

0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

Beazley宣布与Bitfury、Emercoin合作开发保险注册管理平台:根据InsuranceJournal的报道,保险公司Beazley宣布与三家公司合作,建立基于区块链的注册管理平台,以管理大规模击事件等突发恶性事件的保险。合作公司包括Bitfury集团,Emercoin等知名区块链科技公司。[2018/5/1]

交易截图

首先攻击者通过uniswapV2call2次调用受攻击的目标合约中的mintAddressLock函数。

该mintAddressLock函数用于查询并向目标铸造NFT,并且nextid会在铸造NFT后进行更新。

攻击者第一次调用mintAddressLock函数铸造了2个ID为1027的Token为后续攻击做准备,随后再次调用mintAddressLock铸造了3600个ID为1028的Token,在mint函数完成前攻击者重入了depositAdditionalToFNFT函数,由于NFTnextId在mint函数铸造NFT完成并通知后进行更新,此时的nextId仍然为1028,并且合约并未验证1028的Token数量是否为0,因此攻击者再次成功地铸造了1个ID为1031的Token,完成了攻击。

2?总结建议

此次攻击中的铸币相关函数未严格按照检查-生效-交互模式设计,且未考虑到ERC1155token转账重入的可能性。

建议在合约设计时严格按照检查-生效-交互模式设计,并在ERC1155token相关DeFi项目中加入防重入的功能。

截止目前为止,攻击者仍然未将资产进行转移,成都链安将持续进行监控。

攻击者地址:

https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58

标签:TOKEETH以太坊TOKENOmax Tokentogetherbnb黄油场景以太坊价格最新行情分析bloomtoken

POL币最新价格热门资讯
FTX:SBF、Circle创始人等知名企业家谈NFT、稳定币 金融与监管_KAMAX Vault (NFTX)

原文标题:《Foundationaltechnologyforanewfinancialsystem》 2022年3月23日至3月24日,国际清算银行召开了国际清算银行创新峰会.

1900/1/1 0:00:00
NFT:晚间必读5篇 | 简单分析NFT流动性方案的优势与劣势_CryptoMarketAds

1.Vitalik发文支持比特币最大主义4月1日,以太坊创始人VitalikButerin在个人博客发布文章《为比特币最大主义辩护》支持比特币最大主义.

1900/1/1 0:00:00
区块链:金色晚报 | 3月26日晚间重要动态一览_BTC

12:00-21:00关键词:Ronin侧链、Stargate、Sberbank、国家发改委1.Ronin侧链将于3月29日发布多项更新.

1900/1/1 0:00:00
AME:GameFi等趣味金融2.0构想:高性能的去中心化方案_Crypto Crash Gaming

本文通过解析GameFi领域的数据表现及现状,提出了一套无中心化服务器,完全由智能合约控制的高性能GameFi解决方案.

1900/1/1 0:00:00
加密货币:拜登总统行政令详解:不是法令但威力超强_Usechain Token

重点摘要:1、????????行政令本身不是法律,但只要和现有法律不冲突,其实是有类似法律效力2、????????她会非常大地影响全球其他国家对数字资产的态度.

1900/1/1 0:00:00
元宇宙:Bilibili的元宇宙布局_MOBTC

元宇宙近期在企业层面受到关注,国内外多家公司纷纷入局。其中,“AllIn”元宇宙被视为下一个增长点;微软、英伟达、Unity等公司希望成为元宇宙的基础建设者;腾讯希望从游戏入手,开拓元宇宙市场;.

1900/1/1 0:00:00