TOKEN:老調重彈，ERC1155的重入攻擊又“現身”，Revest Finance被攻擊事件簡析_KOF Token

2022年3月27日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，DeFi協議RevestFinance遭到黑客攻擊，損失約12萬美元。

據悉，RevestFinance是針對DeFi領域的staking的解決方案，用戶通過RevestFinance參與任何DeFi的staking，都可以直接創建生成一個NFT。

BNB Grant DAO第二輪二次方資助結束，1878社區成員參與貢獻:1月22日消息，根據官方消息，BNBChain生態早期項目長期資助計劃BNB Grant DAO，已于北京時間1月21日21:00在開發者激勵平臺DoraHacks.io完成社區二次方投票。本輪二次方資助共有14個BUIDL入選，收到來自1878名社區成員的直接捐助。

即日起活動進入為期四日的寬限期(Grace Period)，平臺將對項目投票結果進行閉源分析，檢測投票中的女巫攻擊情況（Sybil Attack）。寬限期后公示社區二次方投票結果，此結果將決定10,000美金匹配資金池分配。[2023/1/22 11:26:06]

在攻擊發生之后，項目方官方發推表示他們以太坊合約遭受了攻擊，目前已采取措施確保所有鏈中的剩余資金安全。

Celsius擬將用戶提出索賠的截止日期延長至明年2月初:金色財經報道，Celsius正準備在本周晚些時候提出一項動議，要求將提出索賠的截止日期從2023年1月3日延長至2月初，以求為賬戶持有人提供更多時間來提交索賠證明。法院定于2023年1月10日舉行聽證會審理該動議，目前截止日期延長至法院審理日。

據悉，Celsius管理著超過100億美元的資產，并聲稱擁有超過170萬用戶。該公司在今年7月申請了破產保護。[2022/12/29 22:13:58]

成都鏈安技術團隊對此事件進行了相關簡析。

百慕大數字銀行Jewel Bank發行穩定幣JUSD:金色財經報道，總部位于百慕大的Jewel Bank周一宣布，它正在發行一種名為Jewel USD(JUSD)的由美元完全支持的穩定幣，可以通過Polygon網絡訪問。Jewel表示，JUSD將與美元保持最低1:1的準備金率，確保銀行始終有儲備資金來支持流通中的每個JUSD。該銀行還將對其穩定幣儲備進行定期審計，并將按月和季度提供報告。Jewel與Polygon的合作伙伴關系意味著區塊鏈將用于JUSD交易，銀行將利用Polygon生態系統用于未來的商業和零售基于穩定幣的支付解決方案。

此前6月份，Jewel Bank獲得百慕大金融管理局頒發的全銀行和數字資產業務牌照，成為該國第一家數字資產銀行。[2022/12/13 21:40:05]

該mintAddressLock函數用于查詢并向目標鑄造NFT，并且nextid會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備，隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token，在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數，由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新，此時的nextId仍然為1028，并且合約并未驗證1028的Token數量是否為0，因此攻擊者再次成功地鑄造了1個ID為1031的Token，完成了攻擊。

#2總結建議

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計，且未考慮到ERC1155token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計，并在ERC1155token相關DeFi項目中加入防重入的功能。

截止目前為止，攻擊者仍然未將資產進行轉移，成都鏈安將持續進行監控。

Tags：JEWTOKTOKENKENJEW價格WPP TokenRUBY TokenKOF Token

幣安交易所app下載