VISR:Uniswap V3流動性管理協議Visor Finance再遭黑客攻擊，VISR暴跌近95%_GastroAdvisor

12月22日，UniswapV3流動性管理協議VisorFinance再次遭受黑客攻擊，黑客借助漏洞提取了超過880萬個VISR并在Uniswap上賣出，導致VISR代幣暴跌近95%，通過TornadoCash進行洗幣后黑客獲利超過120枚ETH。

目前Visor官方表示將對攻擊前地址數據進行快照，進行VISR遷移和退還。新Token將會采用新的名稱替換舊的VISR名稱，Token經濟學保持不變，并且將使用新代幣以1:1的比例贖回，包括質押在vVISR合約中的代幣和質押在Tokemak中的Token。

Arkham：空投已于7月8日快照，將于7月18日開放申領:7月10日消息，Arkham官方宣布，ARKM空投已于7月8日快照，將于7月18日開放申領。用戶可通過Arkham平臺邀請儀表板輸入以太坊地址以申領空投，女巫攻擊者賬戶已被標記，將不再有資格申領。[2023/7/11 10:46:56]

據慢霧安全團隊分析，VisorFinance項目遭受攻擊是由于RewardsHypervisor合約在對用戶充值進行權限檢查時存在缺陷，導致攻擊者可以構造惡意合約以進行任意鑄造抵押憑證。

西班牙數據保護局對ChatGPT展開調查:金色財經報道，西班牙國家數據保護局當地時間4月13日發表聲明，稱該機構已經正式對ChatGPT可能的違反法律行為展開初步調查程序。此前，西班牙國家數據保護局要求歐洲數據保護委員會將ChatGPT列為全體會議上需要重點討論的一項主題，西班牙數據保護局認為需要在歐洲層面采取統一行動以應用《通用數據保護條例》。盡管，西班牙國家數據保護局在聲明中為實施人工智能等創新技術進行了辯護，但同時指出實施創新技術的同時需要遵循現行法律法規。[2023/4/14 14:02:41]

具體分析內容如下：

ConsenSys的zkEVM公共測試網將于3月28日上線:金色財經報道，以太坊基礎設施開發公司ConsenSys將于3月28日推出零知識以太坊虛擬機(zkEVM)公共測試網。

此前報道，2月24日，ConsenSys表示其zkEVM測試網封閉測試版已經執行30萬筆交易，每天處理超過5萬筆交易。[2023/3/4 12:41:30]

1.用戶可以通過VisorFinance的RewardsHypervisor合約中的deposit函數進行VISR代幣抵押，其會先將用戶的VISR代幣轉進合約中，并鑄造對應的抵押憑證給用戶。若用戶在進行deposit操作時傳入的from地址是合約地址，那么其會先進行owner檢查再調用from合約的delegatedTransferERC20函數將VISR代幣轉入抵押合約中，但owner檢查卻檢查的是from合約的owner是否是調用者。因此攻擊者可以部署惡意合約使得惡意合約owner滿足此檢查，隨后就可以為任意地址鑄造抵押憑證。?

2.攻擊者利用憑空鑄造的抵押憑證即可直接通過RewardsHypervisor合約的withdraw函數將合約中抵押的VISR取出。

因此，此次攻擊是由于RewardsHypervisor合約在對用戶充值進行權限檢查時存在缺陷，導致攻擊者可以構造惡意合約以進行任意鑄造抵押憑證。

參考交易：

https://etherscan.io/tx/0x69272d8c84d67d1da2f6425b339192fa472898dce936f24818fda415c1c1ff3f

https://etherscan.io/tx/0x6eabef1bf310a1361041d97897c192581cd9870f6a39040cd24d7

Tags：VISRISRVisorSORVISR幣ISR價格GastroAdvisorSOR價格

USDC