Vào ngày 27 tháng 3 năm 2022, theo dõi dư luận trên Nền tảng nhận thức tình huống bảo mật chuỗi Bing-Blockchain Thành Đô Lianan cho thấy giao thức DeFi Revest Finance đã bị tin tặc tấn công, dẫn đến thiệt hại khoảng 120.000 đô la Mỹ.

Được biết, Revest Finance là một giải pháp để đặt cược trong lĩnh vực DeFi. Người dùng tham gia vào bất kỳ khoản đặt cược DeFi nào thông qua Revest Finance có thể trực tiếp tạo và tạo NFT (NFT chứa giá trị hiện tại và tương lai của vị trí đặt cược).

Sau vụ tấn công, dự án đã chính thức tweet rằng hợp đồng Ethereum của họ đã bị tấn công và các biện pháp đã được thực hiện để đảm bảo an toàn cho số tiền còn lại trong tất cả các chuỗi.

#1 được phân tích như sau

#1 được phân tích như sau

danh sách địa chỉ

Mô tả hình ảnh

ảnh chụp màn hình giao dịch

Đầu tiên, kẻ tấn công gọi hàm mintAddressLock trong hợp đồng mục tiêu bị tấn công hai lần thông qua uniswapV2call.

Hàm mintAddressLock được sử dụng để truy vấn và tạo NFT cho mục tiêu và nextid (FNFTHandler.fnftsCreated) sẽ được cập nhật sau khi tạo NFT.

tiêu đề phụ

#2 Đề xuất tóm tắt

Các chức năng liên quan đến đúc tiền trong cuộc tấn công này không được thiết kế đúng theo chế độ tương tác kiểm tra-xác thực-tương tác và không tính đến khả năng nhập lại chuyển mã thông báo ERC1155.

Bạn nên tuân thủ nghiêm ngặt thiết kế kiểm tra-xác thực-tương tác khi thiết kế hợp đồng và thêm các chức năng chống truy cập lại vào các dự án DeFi liên quan đến mã thông báo ERC1155.

Cho đến nay, kẻ tấn công vẫn chưa chuyển tài sản và Chengdu Lianan sẽ tiếp tục theo dõi.