買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > Pol幣 > Info

ISR:損失約820萬美元 Visor Finance遭黑客攻擊事件全解析_GastroAdvisor

Author:

Time:1900/1/1 0:00:00

12月21日,鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,UniswapV3流動性管理協議VisorFinance于北京時間12月21日晚上10點18分遭受攻擊,總損失約為820萬美元。關于本次攻擊,成都鏈安技術團隊第一時間進行了事件分析。

#1事件概覽

2021年12月21日晚VisorFinance官方Twiiter發布通告稱vVISR質押合約存在漏洞,發文前已有攻擊交易上鏈。

經過成都鏈安技術團隊分析,攻擊者通過惡意合約利用VisorFinance項目的漏洞,偽造了向VisorFinance的抵押挖礦合約(0xc9f27a50f82571c1c8423a42970613b8dbda14ef)存入2億代幣的交易,從而獲取了195,249,950vVISR抵押憑證代幣。然后再利用抵押憑證,從抵押挖礦合約中取出了8,812,958VISR。

NBA球星斯蒂芬·庫里等名人已要求法院駁回關于推廣FTX的訴訟:4月18日消息,根據一份最新提交的法庭動議顯示,涉及推廣加密貨幣交易所FTX集體訴訟的名人已要求法院駁回此案,這些名人包括喜劇演員兼導演LarryDavid、NFL球星Tom Brady、Gisele Bundchen、NBA球星Stephen Curry、Udonis Haslem、TrevorLawrence、Kevin O’Leary、棒球明星Shohei Ohtani、David Ortiz、網球明星Naomi Osaka以及NBA金州勇士隊。據相關律師稱,這些名人并沒有提倡對收益賬戶(YBA)進行投資,而集體訴訟正在索賠此類賬戶的損失。此前消息,美國德州監管機構正調查推廣FTX的名人,包括NBA球星庫里和NFL球星布拉迪。(Cryptoslate)[2023/4/18 14:10:28]

#2事件具體分析

知情人士:美國或將于2024年推出現貨比特幣ETF:金色財經報道,據推特加密 KOL AP_Abacus 透露,關于GBTC的法律說明和灰度訴訟(以及關于ETH的說明),來自一個值得信賴的法律來源:鑒于目前的環境,ETH期貨ETF沒有機會被批準。我們很可能在2024年得到一個現貨BTC ETF,如果 Grayscale勝出,我們很有可能在2024年獲得現貨BTC ETF,盡管其他的ETF可能會先被批準。如果美國證券交易委員會試圖解除已批準的BTC期貨ETF,那么一系列的訴訟將隨之而來,該行動將被定義為任意和任性。[2023/4/9 13:52:41]

攻擊交易為:

Curve在Github上新增針對js開發人員使用的Curve穩定幣的SDK:9月6日消息,Curve在Github上新增針對js開發人員使用的Curve穩定幣的軟件開發工具包(SDK)。此前,Curve創始人Michael Egorov在社群表示,Curve原生穩定幣crvUSD有可能會在本月推出。[2022/9/6 13:11:08]

https://etherscan.io/tx/0x69272d8c84d67d1da2f6425b339192fa472898dce936f24818fda415c1c1ff3f

Magic Eden推出風險投資部門,將投資Web3游戲:7月12日消息,NFT市場Magic Eden推出了一個風險投資部門Magic Ventures,將投資Web3游戲。前騰訊游戲的Tony Zhao將負責此風險投資部門。此外,Magic Eden還宣布了Yoonsup Choi、Harrison Chang和Matt Biamonte的任命。這三人專注于游戲和NFT,將為游戲開發商的上市戰略提供建議和支持。[2022/7/13 2:08:54]

攻擊手法大致如下:

1.部署攻擊合約

0x10c509aa9ab291c76c45414e7cdbd375e1d5ace8;

2.通過攻擊合約調用VisorFinance項目的抵押挖礦合約deposit函數,并指定存入代幣數量visrDeposit為1億枚,from為攻擊合約,to為攻擊者地址

0x8efab89b497b887cdaa2fb08ff71e4b3827774b2;

3.在第53行,計算出抵押憑證shares的數量為97,624,975vVISR.

4.由于from是攻擊合約,deposit函數執行第56-59行的if分支,并調用攻擊合約的指定函數;

第57行,調用攻擊合約的owner函數,攻擊合約只要設置返回值為攻擊合約地址,就能夠通過第57行的檢查;

第58行,調用攻擊合約的delegatedTransferERC20函數,這里攻擊合約進行了重入,再次調用抵押挖礦合約的deposit函數,參數不變,因此抵押挖礦合約再次執行第3步的過程;

第二次執行到第58行時,攻擊合約直接不做任何操作;

5.由于重入,抵押挖礦合約向攻擊者發放了兩次數量為97,624,975vVISR的抵押憑證,總共的抵押憑據數量為195,249,950vVISR。

6.提現

攻擊者通過一筆withdraw交易

,將195,249,950vVISR兌換為8,812,958VISR,當時抵押挖礦合約中共有9,219,200VISR。

7.通過UniswapV2,攻擊者將5,200,000VISR兌換為了WETH,兌換操作將UniswapV2中ETH/VISR交易對的ETH流動性幾乎全部兌空,隨后攻擊者將獲得的133ETH發送到Tornado。

#3事件復盤

本次攻擊利用了VisorFinance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:

1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,并接管了抵押挖礦合約的執行流程;<-主要漏洞,造成本次攻擊的根本原因。

2.函數未做防重入攻擊;<-次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。

針對這兩個問題,成都鏈安在此建議開發者應做好下面兩方面防護措施:

1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;

2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。

來源:金色財經

Tags:ISRVISRCURVisorISR幣VISR幣LP sBTC CurveGastroAdvisor

Pol幣
EFI:OceanMollu丨GameFi還有未來嗎_GAME

答案是肯定有的 雖然目前GameFi還有很多問題需要優化,但不可否認這也是個充滿未來的賽道。通過Layer2和分片技術將進一步解決基礎設施的問題,隨著VR技術和高質量游戲的推動將優化玩家體驗.

1900/1/1 0:00:00
ETA:NirvanaMeta全球公測已開啟 助推鏈游新浪潮_METAVICE價格

全球首個大型RPG魔幻游戲NirvanaMeta于12月25日向全球玩家開啟公測,此前NirvanaMeta已于12月5日開啟為期18天的內測.

1900/1/1 0:00:00
以太坊:一文盤點2021年加密領域最令人失望的四大事件_DOGETF

對區塊鏈技術和加密貨幣來說,2021年是最有趣的年份之一,無論是在采用和主流接受方面。從薩爾瓦多政府到特斯拉、高盛、美國銀行和摩根士丹利等大公司,許多機構都朝著成為該生態系統的一部分邁出了一步.

1900/1/1 0:00:00
BLOCK:全球數字網絡助推文化走出去 合法合規是行業發展必然_Metalblock

一提到青花瓷、功夫、京劇、“春節”等元素,毫無疑問會想到中國。近十年來,我國實行文化“走出去”戰略,逐步提高了中國文化在國際舞臺中的地位.

1900/1/1 0:00:00
DEFI:媒體報道 | SunSwap全新升級 看孫宇晨如何引領波場DeFi生態新發展_MacaronSwap

2021年,DeFi領域依舊火爆,同時也帶領新的領域向前延展,最成功的產品就是去中心化交易所。近日,波場TRON全力打造的去中心化交易所SunSwap又出新進展.

1900/1/1 0:00:00
WOR:「Web3.0—World Online」線下活動圓滿落幕,Web3.0蓄勢待發_Wormhole Finance

2021年12月22日,由WorldMobile、IOHK主辦,Blocklike、DreamLabs聯合主辦的以「Web3.0—WorldOnline」為主題的線下活動在上海圓滿落幕.

1900/1/1 0:00:00
ads