เมื่อวันที่ 27 มีนาคม 2022 การตรวจสอบความคิดเห็นของประชาชนเกี่ยวกับแพลตฟอร์มการรับรู้สถานการณ์ความปลอดภัยของ Chengdu Lianan Chain Bing-Blockchain แสดงให้เห็นว่าโปรโตคอล DeFi Revest Finance ถูกโจมตีโดยแฮ็กเกอร์ ส่งผลให้สูญเสียเงินไปประมาณ 120,000 ดอลลาร์สหรัฐ

มีรายงานว่า Revest Finance เป็นโซลูชันสำหรับการปักหลักในฟิลด์ DeFi ผู้ใช้ที่เข้าร่วมในการเดิมพัน DeFi ผ่าน Revest Finance สามารถสร้างและสร้าง NFT ได้โดยตรง (NFT ประกอบด้วยมูลค่าปัจจุบันและอนาคตของตำแหน่งการปักหลัก)

หลังจากการโจมตี ทีมงานโครงการได้ทวีตอย่างเป็นทางการว่าสัญญา Ethereum ของพวกเขาถูกโจมตี และมีการใช้มาตรการเพื่อความปลอดภัยของเงินที่เหลืออยู่ในทุกเครือข่าย

#1 มีการวิเคราะห์ดังนี้

#1 มีการวิเคราะห์ดังนี้

รายการที่อยู่

คำอธิบายภาพ

ภาพหน้าจอการทำธุรกรรม

ขั้นแรก ผู้โจมตีเรียกฟังก์ชัน mintAddressLock ในสัญญาเป้าหมายที่ถูกโจมตีสองครั้งผ่าน uniswapV2call

ฟังก์ชัน mintAddressLock ใช้เพื่อสอบถามและสร้าง NFT ไปยังเป้าหมาย และ Nextid (FNFTHandler.fnftsCreated) จะได้รับการอัปเดตหลังจากสร้าง NFT แล้ว

ชื่อเรื่องรอง

#2 สรุปคำแนะนำ

ฟังก์ชันที่เกี่ยวข้องกับการทำเหรียญกษาปณ์ในการโจมตีนี้ไม่ได้ออกแบบมาอย่างเคร่งครัดตามโหมดการตรวจสอบความถูกต้องและการโต้ตอบ และไม่ได้คำนึงถึงความเป็นไปได้ของการถ่ายโอนโทเค็น ERC1155 กลับเข้ามาใหม่

ขอแนะนำให้ปฏิบัติตามการออกแบบการโต้ตอบการตรวจสอบความถูกต้องเมื่อออกแบบสัญญา และเพิ่มฟังก์ชันป้องกันการกลับเข้าใหม่ให้กับโปรเจ็กต์ DeFi ที่เกี่ยวข้องกับโทเค็น ERC1155

จนถึงตอนนี้ ผู้โจมตียังไม่ได้โอนทรัพย์สิน และ Chengdu Lianan จะดำเนินการตรวจสอบต่อไป