加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

損失約820萬美元,Visor Finance遭黑客攻擊事件全解析_ISR:avalanche幣的價格

Author:

Time:1900/1/1 0:00:00

12月21日,鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,UniswapV3流動性管理協議VisorFinance于北京時間12月21日晚上10點18分遭受攻擊,總損失約為820萬美元。關于本次攻擊,成都鏈安技術團隊第一時間進行了事件分析。

#1事件概覽

2021年12月21日晚VisorFinance官方Twiiter發布通告稱vVISR質押合約存在漏洞,發文前已有攻擊交易上鏈。

經過成都鏈安技術團隊分析,攻擊者通過惡意合約利用VisorFinance項目的漏洞,偽造了向VisorFinance的抵押挖礦合約(0xc9f27a50f82571c1c8423a42970613b8dbda14ef)存入2億代幣的交易,從而獲取了195,249,950vVISR抵押憑證代幣。然后再利用抵押憑證,從抵押挖礦合約中取出了8,812,958VISR。

Gifto創始人Andy Tian因突發疾病于2月6日去世:2月8日消息,亞洲創新集團(AIG)首席執行官兼聯合創始人Andy Tian(田行智)因突發疾病于2月6日去世,享年47歲。據悉,Andy Tian同時為Web3虛擬禮物平臺Gifto創始人,該項目于今年1月將其原生Token GTO置換為GFT,GFT于今日16時正式在Binance平臺開啟交易。[2023/2/9 11:55:31]

#2事件具體分析

攻擊交易為:

https://etherscan.io/tx/0x69272d8c84d67d1da2f6425b339192fa472898dce936f24818fda415c1c1ff3f

Amber Group聯合創始人Tiantian Kullander去世:11月25日消息,Amber Group官網顯示,聯合創始人Tiantian Kullander于2022年11月23日在睡夢中意外去世。TT還擔任電子競技組織Fnatic的董事會成員,并創立了KeeperDAO。[2022/11/26 20:46:45]

攻擊手法大致如下:

1.部署攻擊合約

0x10c509aa9ab291c76c45414e7cdbd375e1d5ace8;

美國銀行:加密貨幣繼續充當風險資產:金色財經報道,美國銀行(BAC)周五在一份研究報告中稱,數字資產繼續充當風險資產,隨著全球利率上升而下降。盡管如此,最終復蘇的積極跡象包括穩定幣的流入。上周這些流入量躍升至 4.9 億美元,比前一周高出 58%,四大穩定幣連續第三周出現外匯凈流入,并指出幣安美元(BUSD)大量流入/美元硬幣(USDC)流出可能是投資者“搶先從USDC轉向”BUSD的結果,避免在幣安決定將一些穩定幣自動轉換為自己的穩定幣后造成干擾。

此外,美國銀行希望監管的明確性能夠支持DeFi的采用。[2022/9/26 22:30:02]

2.通過攻擊合約調用VisorFinance項目的抵押挖礦合約deposit函數,并指定存入代幣數量visrDeposit為1億枚,from為攻擊合約,to為攻擊者地址

新華文軒:“知信鏈數字文創交易平臺”已上線:9月4日消息,新華文軒宣布“知信鏈數字文創交易平臺”已于9月1日正式上線。知信鏈由新華文軒全資公司新華文軒四川數字出版傳媒建設運營。知信鏈由可信區塊鏈服務基礎設施、可信行業鏈、網絡出版發行平臺、區塊鏈數字資產管理器、產權(數字)交易所;及版權審核體系、網絡出版服務體系、資產評估體系、資產生成體系,元宇宙跨鏈使用與合規流轉組成。(e公司)[2022/9/4 13:07:24]

0x8efab89b497b887cdaa2fb08ff71e4b3827774b2;

3.在第53行,計算出抵押憑證shares的數量為97,624,975vVISR.

4.由于from是攻擊合約,deposit函數執行第56-59行的if分支,并調用攻擊合約的指定函數;

第57行,調用攻擊合約的owner函數,攻擊合約只要設置返回值為攻擊合約地址,就能夠通過第57行的檢查;

第58行,調用攻擊合約的delegatedTransferERC20函數,這里攻擊合約進行了重入,再次調用抵押挖礦合約的deposit函數,參數不變,因此抵押挖礦合約再次執行第3步的過程;

第二次執行到第58行時,攻擊合約直接不做任何操作;

5.由于重入,抵押挖礦合約向攻擊者發放了兩次數量為97,624,975vVISR的抵押憑證,總共的抵押憑據數量為195,249,950vVISR。

6.提現

攻擊者通過一筆withdraw交易

,將195,249,950vVISR兌換為8,812,958VISR,當時抵押挖礦合約中共有9,219,200VISR。

7.通過UniswapV2,攻擊者將5,200,000VISR兌換為了WETH,兌換操作將UniswapV2中ETH/VISR交易對的ETH流動性幾乎全部兌空,隨后攻擊者將獲得的133ETH發送到Tornado。

#3事件復盤

本次攻擊利用了VisorFinance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:

1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,并接管了抵押挖礦合約的執行流程;<-主要漏洞,造成本次攻擊的根本原因。

2.函數未做防重入攻擊;<-次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。

針對這兩個問題,成都鏈安在此建議開發者應做好下面兩方面防護措施:

1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;

2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。

Tags:ISRVISRANCNANVISR幣VISR價格avalanche幣的價格Solyard Finance

比特幣交易所
從生態應用場景分析Arweave:或有潛力與公鏈一較高下_AVE:arweave幣升級

在許多人的印象中,Arweave一直以提供低成本的永久存儲服務而著稱。但隨著Arweave生態的逐步發展成熟,更多基于Arweave技術開發的全新應用形式已經開始嶄露頭角.

1900/1/1 0:00:00
WealthSecrets 旗下首個應用程序 Bettico 兩周后將上線新產品_SEC:ETS

近日,體育社交平臺?WealthSecrets?發布了旗下應用程序?Bettico?的最新更新,并宣布將于兩周后正式上線該應用程序的?MVP.

1900/1/1 0:00:00
“炒鞋團”和元宇宙搭的什么界_元宇宙:CLever Token

最近一段時間,元宇宙的概念很火,國內外各大企業紛紛進場布局,之前備受關注的“炒鞋”也來了。據報道,12月17日,運動服飾巨頭阿迪達斯推出了一個NFT系列的adidas?Originals服裝,以.

1900/1/1 0:00:00
下一代互聯網?高盛、馬斯克和多爾西熱議Web3到底是什么?_WEB:Glitter Finance

大家好,我是團子,價值投資雖然不能保證我們穩步盈利,但價值投資給我們提供了走向真正成功的唯一機會。眼睛僅盯在自己小口袋的是小商人,眼光放在世界大市場的是大商人.

1900/1/1 0:00:00
NFT改變潮流,也在解放人類創造力的約束_NFT:bitcoin交易所下載

正如我們往期推送《盤點時下圍繞“元宇宙”迅猛發展的行業》中提起的,會被元宇宙概念加速的產業除了數字孿生、XR硬件周邊、社交平臺和獨立游戲,相較之下還有更貼近基礎階層的內容生產和數字資產.

1900/1/1 0:00:00
Polkadot 第一輪拍賣數據復盤:9920 萬 DOT 鎖定在插槽_DLO:DOT

原文標題:《Polkadot第一輪Auction數據復盤!再次創造歷史!》Polkadot網絡已經達到了另一個非凡的里程碑,它交付了最后一項功能,實現了白皮書中概述的Polkadot愿景.

1900/1/1 0:00:00
ads