2022年3月27日,成都链安链必应-区块链安全态势感知平台舆情监测显示,DeFi协议RevestFinance遭到黑客攻击,损失约12万美元。
据悉,RevestFinance是针对DeFi领域的staking的解决方案,用户通过RevestFinance参与任何DeFi的staking,都可以直接创建生成一个NFT。
在攻击发生之后,项目方官方发推表示他们以太坊合约遭受了攻击,目前已采取措施确保所有链中的剩余资金安全。
数据:Proof Of Merge NFT采用ERC1155标准,现已铸造超3万枚:9月15日消息,根据NFTScan浏览器最新数据显示,为纪念以太坊合并事件的Proof Of Merge NFT采用了ERC1155资产协议标准,目前NFT铸造数量为31826枚,还在持续增长中。
此前消息,a16z Crypto推出纪念以太坊合并的NFT“Proof-of-Merge”,用户可免费铸造。[2022/9/15 6:57:38]
成都链安技术团队对此事件进行了相关简析。
Stellar加入Mercado Bitcoin联盟探索CBDC:金色财经报道,拉丁美洲最大的交易所Mercado Bitcoin与Stellar Development Foundation (SDF)合作,开发LIFT Challenge Real Digital的9个项目之一,这是巴西中央银行(Bacen)开展的一个合作环境。与中央银行服务器协会全国联合会(Fenasbac)合作,探索中央银行数字货币(CBDC)的用例。SDF宣布加入CPQD和ClearSale,成为Mercado比特币的LIFT Challenge财团的一部分。Bacen计划旨在确定Real Digital基础设施的基本特征,以便能够支持LIFT挑战赛参与者提出的用例。Bacen预计,Real Digital将于2022年下半年推出,在第一阶段,将针对有限的观众进行试点。Mercado Bitcoin之所以选择Stellar网络,是因为它是CDBC其他项目、稳定币发行和金融资产代币化的首选网络,因为它具有独特的速度、效率、安全性和合规范性。(finextra)[2022/5/25 3:39:50]
1分析如下
说唱歌手Snoop Dogg和企业家Gary Vaynerchuck持有的NFT总价值9500万美元:3月2日消息,根据DappRadar数据,说唱歌手Snoop Dogg和企业家Gary Vaynerchuck的NFT投资组合价值总计9500万美元。
截至发稿时,Gary Vaynerchuck的钱包持有价值8189万美元的NFT。其持仓包括来自顶级收藏品项目的多个NFT,例如CryptoPunks(他总共拥有多达60个)、Bored Ape Yacht Club和World of Women。
Snoop Dogg是一位狂热的NFT收藏家,其钱包持有多个CryptoPunks、Meebits和Fidenza NFT。他持有的最贵NFT CryptoPunk #3831按当前价格计算价值257万美元。
DappRadar博客文章曾列出前10大最有价值的名人NFT投资组合。其他值得关注的名人包括Reddit联合创始人Alexis Ohanian(490万美元)、YouTube网红Logan Paul(436万美元)。(Cointelegraph)[2022/3/2 13:32:37]
地址列表
Cardano:下周将在测试网发布ERC-20转换器:8月28日消息,在最近举行的 Cardano 360 活动中,IOHK 项目经理弗朗西斯科·兰迪诺 (Francisco Landino) 称,Cardano将推出ERC-20转换器新工具,计划于下周在测试网上发布,该工具旨在把以太坊上的资产便捷地引入Cardano的测试网。弗朗西斯科·兰迪诺透露,新工具是专门针对终端用户和代币发行方设计的,允许他们迁移基于以太坊的资产,并且将扮演以太坊网络连接到Cardano的桥梁角色。一旦该迁移工具完成部署,基于以太坊区块链的代币用户能够从Cardano的交易能力和低费用中受益。据悉,SingularityNET 的原生 AGIX 代币将成为第一个迁移到 Cardano 的 ERC-20 代币,另据此前披露消息,Alonzo 硬分叉预计将在 9 月 12 日进行。(ambcrypto)[2021/8/28 22:43:06]
Token合约:
动态 | 去中心化金融合约协议UMA发行与标普500指数挂钩的ERC20代币:据CryptoNinjas消息,基于以太坊的去中心化金融合约协议UMA Protocol宣布发行与美国标准普尔500指数(S&P500)相挂钩的ERC20代币USStock。[2019/3/28]
0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76
被攻击合约:
0x2320a28f52334d62622cc2eafa15de55f9987ed9
攻击合约:
0xb480Ac726528D1c195cD3bb32F19C92E8d928519
攻击者:
0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B
交易截图
首先攻击者通过uniswapV2call2次调用受攻击的目标合约中的mintAddressLock函数。
该mintAddressLock函数用于查询并向目标铸造NFT,并且nextid会在铸造NFT后进行更新。
攻击者第一次调用mintAddressLock函数铸造了2个ID为1027的Token为后续攻击做准备,随后再次调用mintAddressLock铸造了3600个ID为1028的Token,在mint函数完成前攻击者重入了depositAdditionalToFNFT函数,由于NFTnextId在mint函数铸造NFT完成并通知后进行更新,此时的nextId仍然为1028,并且合约并未验证1028的Token数量是否为0,因此攻击者再次成功地铸造了1个ID为1031的Token,完成了攻击。
2?总结建议
此次攻击中的铸币相关函数未严格按照检查-生效-交互模式设计,且未考虑到ERC1155token转账重入的可能性。
建议在合约设计时严格按照检查-生效-交互模式设计,并在ERC1155token相关DeFi项目中加入防重入的功能。
截止目前为止,攻击者仍然未将资产进行转移,成都链安将持续进行监控。
攻击者地址:
https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。