買比特幣 買比特幣
Ctrl+D 買比特幣
ads

NFT:ERC1155的重入攻擊又“現身”:Revest Finance被攻擊事件簡析_TOKEN

Author:

Time:1900/1/1 0:00:00

2022年3月27日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DeFi協議RevestFinance遭到黑客攻擊,損失約12萬美元。

據悉,RevestFinance是針對DeFi領域的staking的解決方案,用戶通過RevestFinance參與任何DeFi的staking,都可以直接創建生成一個NFT。

在攻擊發生之后,項目方官方發推表示他們以太坊合約遭受了攻擊,目前已采取措施確保所有鏈中的剩余資金安全。

Mastercard推出NFT門控音樂藝術家加速器計劃:4月13日消息,Mastercard宣布了其新的藝術家加速器(Mastercard Artist Accelerator)計劃,本次加速器計劃增加了 Web3 的變化,即只有持有 NFT 會員通行證才能訪問該計劃。限量版 Mastercard Music Pass NFT 是解鎖 Mastercard Artist Accelerator 計劃的關鍵,這是一個 Web3 平臺,可以免費訪問教育材料,通過其合作提供獨特的人工智能工具,以及提升音樂藝術家創造力的無價體驗。免費的限量版 Mastercard Music Pass NFT 將在月底前向音樂和 Web3 粉絲開放。該計劃是通過與區塊鏈開發商 Polygon 共同創建,萬事達卡尋求利用 Web3 技術來教育并讓更多人參與音樂領域正在發生的數字化轉型。[2023/4/13 14:02:02]

成都鏈安技術團隊對此事件進行了相關簡析。

以太坊ERC-721智能合約數量創歷史新高:金色財經報道,CoinMetrics周二發布的報告顯示,由于最近的“NFT熱潮”,以太坊上ERC-721智能合約的數量達到了約19000的歷史新高。研究人員指出,NFT市場仍有很大的增長空間。[2021/3/26 19:19:15]

1分析如下

地址列表

Token合約:

0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76

Cobo未受以太坊分叉影響,ETH與ERC20代幣可正常充提:11月11日,提供免費的以太坊節點RPC API服務的Infura發生宕機,導致部分交易平臺ETH與ERC20代幣充提服務受到影響。Cobo聯合創始人神魚表示,此次Infura宕機是因以太坊舊節點版本和新的版本不兼容而發生了意外分叉,而Cobo使用的節點池具備防分叉機制,并對各種意外分叉情況進行了優化和異常處理,因此此次不受任何影響,Cobo Custody客戶及Cobo錢包用戶均可進行ETH與ERC20代幣正常充提。

此外,神魚建議仍在使用以太坊舊節點的錢包和交易所盡快升級,否則會存在被雙花攻擊的風險。[2020/11/11 12:20:12]

被攻擊合約:

動態 | 博報堂參與開發了區塊鏈應用程序“GiverCoin”:日本廣告與傳播巨頭博報堂與token pocket、Zee Productions等公司共同開發了一個新區塊鏈平臺“GiverCoin”,在此平臺上,當消費者進行社交活動(為社會做貢獻)時,會將令牌作為貢獻分數提供給應用程序內錢包。(Coinpost)[2019/11/14]

0x2320a28f52334d62622cc2eafa15de55f9987ed9

攻擊合約:

0xb480Ac726528D1c195cD3bb32F19C92E8d928519

攻擊者:

0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

交易截圖

首先攻擊者通過uniswapV2call2次調用受攻擊的目標合約中的mintAddressLock函數。

該mintAddressLock函數用于查詢并向目標鑄造NFT,并且nextid會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備,隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token,在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數,由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新,此時的nextId仍然為1028,并且合約并未驗證1028的Token數量是否為0,因此攻擊者再次成功地鑄造了1個ID為1031的Token,完成了攻擊。

2?總結建議

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計,且未考慮到ERC1155token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計,并在ERC1155token相關DeFi項目中加入防重入的功能。

截止目前為止,攻擊者仍然未將資產進行轉移,成都鏈安將持續進行監控。

攻擊者地址:

https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58

Tags:NFTKENTOKETOKENNFTDAOYEX TokenTrabzonspor Fan TokenMCSS Token

中幣交易所
DEF:3月區塊鏈生態被盜總金額超過7億美元 較典型安全事件超30起_DeFi Yield Protocol

又到了每月安全盤點時刻!據成都鏈安安全輿情監控數據顯示:2022年3月,各類安全事件仍然時有發生,3月發生較典型安全事件超『30』起。暴露出來的安全風險創下2022開年以來的新高.

1900/1/1 0:00:00
MIN:多圖預警:忌跟風mint 三分之一的NFT都會爛在手里_NFT Platform Index

原文:Nansen 作者:DarrenLim,JavierGonzalez,LouisaChoeNFTMinter的行為可以被視作短期市場走勢的信號.

1900/1/1 0:00:00
BORED:金色觀察丨Yuga Labs發文親述:BAYC起源及40億美元估值里程_NFT

2022年3月23日,BoredApeYachtClub發行公司YugaLabs宣布以40億美元估值完成新一輪4.5億美元融資,本輪融資由a16z領投,AdidasVentures.

1900/1/1 0:00:00
NFT:ChelseaDAO的創立是否意味著體育行業開始去中心化?_區塊鏈

本文由”老雅痞laoyapicom“授權轉載 3月18日,據知名切爾西新聞報道賬號ChelsTransferb報道,部分切爾西球迷已經組成團體ChelseaDAO.

1900/1/1 0:00:00
DRAGON:對話 Dragonfly 合伙人:如何成為優秀的Web3 VC?_NFL

以下為GuildFi分析師Cloud針對Bankless播客《HowtobeaWeb3VCwithHaseebQureshi》所做播客筆記,并授權深潮TechFlow編譯發布.

1900/1/1 0:00:00
PALM:「最火超英」蝙蝠俠NFT來了 未來兩年的賦能也規劃好了_ALM

周三,全球最大電影和電視娛樂制作公司之一的華納兄弟在贊助的<NFT|LA>線下峰會上宣布.

1900/1/1 0:00:00
ads