2022년 3월 27일 Chengdu Lianan Chain Bing-Blockchain Security Situational Awareness Platform에 대한 여론 모니터링에서 DeFi 프로토콜 Revest Finance가 해커의 공격을 받아 약 120,000달러의 손실이 발생한 것으로 나타났습니다.

Revest Finance는 DeFi 분야의 스테이킹을 위한 솔루션으로, Revest Finance를 통해 모든 DeFi 스테이킹에 참여하는 사용자는 NFT를 직접 생성 및 생성할 수 있습니다(NFT에는 스테이킹 포지션의 현재 및 미래 가치가 포함됨).

공격 후 프로젝트 팀은 공식적으로 이더리움 계약이 공격당했으며 모든 체인의 나머지 자금의 안전을 보장하기 위한 조치가 취해졌다고 트윗했습니다.

#1은 다음과 같이 분석됩니다.

#1은 다음과 같이 분석됩니다.

주소 목록

이미지 설명

거래 스크린샷

먼저 공격자는 uniswapV2call을 통해 공격 대상 계약의 mintAddressLock 함수를 두 번 호출합니다.

mintAddressLock 함수는 대상에 NFT를 쿼리하고 생성하는 데 사용되며 nextid(FNFTHandler.fnftsCreated)는 NFT가 생성된 후 업데이트됩니다.

보조 제목

#2 요약 권장 사항

이 공격에서 발행 관련 기능은 확인-검증-상호 작용 모드에 따라 엄격하게 설계되지 않았으며 ERC1155 토큰 전송 재진입 가능성을 고려하지 않았습니다.

계약을 설계할 때 확인-검증-상호작용 설계를 엄격히 따르고 ERC1155 토큰 관련 DeFi 프로젝트에 재진입 방지 기능을 추가하는 것이 좋습니다.

지금까지 공격자는 아직 자산을 이전하지 않았으며 Chengdu Lianan은 계속 모니터링할 것입니다.