[成都链安:Visor Finance遭受攻击事件分析]据成都链安监测显示,Visor Finance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析,本次攻击利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞:
1.call调用未对目标合约进行限制,攻击者可以调用任意合约,并接管了抵押挖矿合约的执行流程;<- 主要漏洞,造成本次攻击的根本原因。2.函数未做防重入攻击;<- 次要漏洞,导致了抵押凭证数量计算错误,不是本次攻击的主要利用点,不过也可凭此漏洞单独发起攻击。针对这两个问题,成都链安在此建议项目方应做好下面两方面:1.进行外部合约调用时,建议增加白名单,禁止任意的合约调用,特别是能够控制合约执行流程的关键合约调用;2.函数做好防重入,推荐使用openzeppelin的ReentrancyGuard合约。
成都链安:BAYC项目具有被无限铸币的风险:据成都链安安全舆情监控数据显示,BAYC项目具有被无限铸币的风险。成都链安安全团队分析发现,合约的拥有者并非多签钱包,合约拥有者可以任意调用reserveApes()函数进行铸币,每次调用函数可以直接铸造30枚无聊猿NFT,如果合约所有者遭到钓鱼攻击或私钥泄露等,可能会导致大量无聊猿NFT被铸造并售卖。后面成都链安会持续监控该合约拥有者的动向。[2022/6/6 4:04:55]
成都链安CEO杨霞:DeFi项目方应重视合约安全问题:据官方消息,在由OKEx主办的“后疫情时代:DeFi的机遇与挑战”社群活动上,成都链安创始人兼CEO杨霞谈到最近dForce攻击事件,她表示,DeFi项目正在快速发展壮大,据我们统计截止2020年,锁定在以太坊DeFi应用中资产已达到10亿美元。DeFi项目火爆主要来源它的高收益。DeFi又被称为“去中心化金融”,开放式金融基础,则是高达8%-10%收益率必然会伴随巨大风险。各方DeFi团队开发自己合约产品也是自由发挥;但并没有一个统一的、标准的安全方案去遵守,或者说是必须通过严格安全审计,这就导致各种合约漏洞与相关安全问题层出不穷,此次事件项目方就应该进行重入防护:比如使用OpenZeppelin的ReentrancyGuard,另一方面先修改本合约状态变量,再进行外部调用。任何Defi项目方在开发合约时应重视合约安全问题,以应对各种突发情况和各种非正常使用合约情况,从而避免造成损失;同时建议做好相关安全审计工作,借助专业的区块链安全公司的力量,避免潜在的安全隐患。[2020/4/30]
比原链牵手成都链安科技,共建区块链安全新生态:近日,比原链基金会与成都链安科技签署战略合作协议。双方将在区块链安全技术领域达成初步合作意向,未来成都链安科技将会为比原链提供底层平台的形式化安全验证,智能合约的开发、审计、安全验证等服务,保证比原链平台和智能合约的安全性、功能正确性。[2018/5/10]
郑重声明: 成都链安:Visor Finance遭受攻击事件分析版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。