KEN:ERC1155的重入攻擊又“現身”：Revest Finance被攻擊事件簡析_INTL價格

2022年3月27日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，DeFi協議RevestFinance遭到黑客攻擊，損失約12萬美元。

據悉，RevestFinance是針對DeFi領域的staking的解決方案，用戶通過RevestFinance參與任何DeFi的staking，都可以直接創建生成一個NFT。

在攻擊發生之后，項目方官方發推表示他們以太坊合約遭受了攻擊，目前已采取措施確保所有鏈中的剩余資金安全。

區塊鏈索引初創公司Superchain完成400萬美元的種子輪融資:金色財經報道，區塊鏈索引初創公司Superchain已經完成了400萬美元的種子輪融資，用于構建開放索引協議，該協議可以快速收集和定制區塊鏈數據供開發人員使用。

這輪融資于去年12月結束，由Blockchain Capital領投。該公司在新聞稿中表示，該初創公司還在2021年12月的種子前輪融資中籌集了125萬美元，其中包括Maven 11、KR1、Tokonomy和Fasanara。[2023/2/22 12:20:37]

成都鏈安技術團隊對此事件進行了相關簡析。

Huobi和MyCointainer成為公鏈ThunderCore節點驗證者:金色財經報道，Huobi 和 MyCointainer 已成為公鏈 ThunderCore 節點驗證者，這意味著這兩個平臺用戶現在已經可以質押 ThunderCore 原生資產 TT 來獲得獎勵。據悉，Huobi 將負責實施和維護 ThunderCore 節點以進一步保護 ThunderCore 生態系統，在操作節點之上，MyCointainer 將允許在平臺上進行 BTC/TT、USDT/TT 等交易對存款和取款。（雅虎財經）[2023/1/6 10:24:16]

BitWell宣布支持以太坊合并，屆時將暫停ETH和ERC-20代幣充提業務:金色財經消息，BitWell發布關于支持以太坊合并計劃的公告，以太坊預計將于新加坡時間9月6日19:00和9月15日8:00進行，BitWell屆時將暫停ETH和ERC-20網絡代幣的充值、提現業務。如果硬分叉期間產生新代幣，BitWell將會支持新代幣的分發和提現功能，關于分發和上線交易的細節，將另行公告說明。[2022/9/5 13:10:11]

1分析如下

地址列表

Token合約：

0x56de8BC61346321D4F2211e3aC3c0A7F00dB9b76

Gate.io已將BTMX切換至新的ERC20合約:據Gate.io官方公告消息，因為安全需要，Gate.io已根據官方要求將BTMX切換到新的ERC20合約。目前已經完成合約更換，用戶后續充值提現將按照新的ERC20合約進行處理。[2020/6/4]

被攻擊合約：

0x2320a28f52334d62622cc2eafa15de55f9987ed9

攻擊合約：

0xb480Ac726528D1c195cD3bb32F19C92E8d928519

攻擊者：

0xef967ECE5322c0D7d26Dab41778ACb55CE5Bd58B

交易截圖

首先攻擊者通過uniswapV2call2次調用受攻擊的目標合約中的mintAddressLock函數。

該mintAddressLock函數用于查詢并向目標鑄造NFT，并且nextid會在鑄造NFT后進行更新。

攻擊者第一次調用mintAddressLock函數鑄造了2個ID為1027的Token為后續攻擊做準備，隨后再次調用mintAddressLock鑄造了3600個ID為1028的Token，在mint函數完成前攻擊者重入了depositAdditionalToFNFT函數，由于NFTnextId在mint函數鑄造NFT完成并通知后進行更新，此時的nextId仍然為1028，并且合約并未驗證1028的Token數量是否為0，因此攻擊者再次成功地鑄造了1個ID為1031的Token，完成了攻擊。

2?總結建議

此次攻擊中的鑄幣相關函數未嚴格按照檢查-生效-交互模式設計，且未考慮到ERC1155token轉賬重入的可能性。

建議在合約設計時嚴格按照檢查-生效-交互模式設計，并在ERC1155token相關DeFi項目中加入防重入的功能。

截止目前為止，攻擊者仍然未將資產進行轉移，成都鏈安將持續進行監控。

攻擊者地址：

https://etherscan.io/address/0xef967ece5322c0d7d26dab41778acb55ce5bd58

Tags：INTTOKKENTOKENINTL價格Glory Tokenimtoken錢包清空授權Sav3Token

FIL幣