2022年3月27日、成都連南チェーンBing-Blockchainセキュリティ状況認識プラットフォームの世論監視により、DeFiプロトコルRevest Financeがハッカーに攻撃され、約12万米ドルの損失が発生したことが判明した。

Revest Finance は DeFi 分野でのステーキング用のソリューションであると報告されており、Revest Finance を通じて DeFi ステーキングに参加するユーザーは、NFT を直接作成して生成できます (NFT にはステーキング ポジションの現在および将来の価値が含まれます)。

攻撃後、プロジェクトはイーサリアム契約が攻撃されたと公式にツイートし、すべてのチェーンに残っている資金の安全を確保するための措置が取られたと発表した。

#1 は次のように分析されます

#1 は次のように分析されます

アドレスリスト

画像の説明

トランザクションのスクリーンショット

まず、攻撃者は、攻撃対象のコントラクト内の mintAddressLock 関数を uniswapV2call を通じて 2 回呼び出します。

mintAddressLock 関数は、NFT をクエリしてターゲットにミントするために使用され、NFT がミントされた後に nextid (FNFTHandler.fnftsCreated) が更新されます。

副題

#2 推奨事項の概要

この攻撃のミント関連機能は、チェック検証インタラクション モードに従って厳密に設計されておらず、ERC1155 トークン転送リエントリーの可能性が考慮されていませんでした。

契約を設計する際には、チェック検証インタラクションの設計に厳密に従い、ERC1155 トークン関連の DeFi プロジェクトにアンチリエントリー機能を追加することが推奨されます。

これまでのところ、攻撃者はまだ資産を譲渡しておらず、成都聯安は引き続き監視を続ける。