TOK:老調重彈，ERC1155的重入攻擊又“現身”，Revest Finance被攻擊事件簡析-ODAILY_SHI

2022年3月27日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，DeFi協議RevestFinance遭到黑客攻擊，損失約12萬美元。

據悉，RevestFinance是針對DeFi領域的staking的解決方案，用戶通過RevestFinance參與任何DeFi的staking，都可以直接創建生成一個NFT。

在攻擊發生之后，項目方官方發推表示他們以太坊合約遭受了攻擊，目前已采取措施確保所有鏈中的剩余資金安全。

成都鏈安技術團隊對此事件進行了相關簡析。

#1分析如下

SVB金融集團：硅谷銀行顯示賬戶余額和資金交易的儀表板已經癱瘓:金色財經報道，SVB金融集團在英國的客戶稱，硅谷銀行顯示賬戶余額和資金交易的儀表板已經癱瘓。[2023/3/11 12:55:08]

地址列表

Token合約：0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76被攻擊合約：0x2320a28f52334d62622cc2eafa15de55f9987ed9攻擊合約：0xb480Ac726528D1c195cD3bb32F19C92E8d928519攻擊者：0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

Shiba Inu首席開發者：不持有PAW代幣，該幣與Shiba Inu無任何關系:2月11日消息，Shiba Inu首席開發者Shytoshi Kusama在推特上回答了關于他是否與最近在市場上出現的meme幣PAW有任何聯系的各種問題。他還強調，自己不持有PAW。

Kusama表示，他與PAW幣沒有任何關系，該幣也與Shiba Inu沒有任何關系。他警告SHIB社區注意此類打著Shiba Inu幌子的項目。（U.Today）[2023/2/11 12:01:08]

知情人士：美國參議院農業委員會準備舉行《數字商品消費者保護法》聽證會:金色財經報道，據五位知情人士透露，美國參議院農業委員會正準備就一項法案舉行聽證會，該法案將大幅改變對加密貨幣交易所的監管。該法案是《數字商品消費者保護法》，如果獲得通過并簽署成為法律，美國商品期貨交易委員會（CFTC）將成為加密貨幣交易所主要監管機構。

該委員會目前正計劃在9月中旬舉行聽證會，有三位知情人士稱15日是可能的日期。

不過，隨著美國11月中期選舉的臨近，該法案在本屆國會期間成為法律的可能性很小。（The Block）[2022/8/27 12:51:26]

交易截圖

首先攻擊者通過uniswapV2call2次調用受攻擊的目標合約中的mintAddressLock函數。

該mintAddressLock函數用于查詢并向目標鑄造NFT，并且nextid會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備，隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token，在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數，由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新，此時的nextId仍然為1028，并且合約并未驗證1028的Token數量是否為0，因此攻擊者再次成功地鑄造了1個ID為1031的Token，完成了攻擊。

#2總結建議

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計，且未考慮到ERC1155token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計，并在ERC1155token相關DeFi項目中加入防重入的功能。

截止目前為止，攻擊者仍然未將資產進行轉移，成都鏈安將持續進行監控。

Tags：SHIKENTOKENTOKASHIT幣HGH TokenMILF TokenFC Porto Fan Token

中幣交易所