SWAP:成都链安：Visor Finance遭受攻击事件分析

据成都链安链必应-区块链安全态势感知平台舆情监测显示，VisorFinance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析，本次攻击利用了VisorFinance项目抵押挖矿合约RewardsHypervisor的两个漏洞：

REV智能合约已通过Beosin（成都链安）的安全审计:据官方消息，Justswap上的明星项目，REV团队释放出REV智能合约审计报告，由Beosin（成都链安）安全审计完成。

据了解，REV（Revolution Token）是基于区块链的新型社会实验型代币。其独特之处在于内嵌了交易燃烧、尾单博弈、持币分红三种独特的创新机制。

REV技术介绍：智能合约的整体设计清晰，逻辑缜密，代码安全靠谱，从性能和功能上完全具备了区块链顶级去中心化金融项目的一切条件。合约地址(认准唯一)

TSngG7y4RDSVG6QwoWM4MvVWJb3k8VLZJk。详情点击原文链接。[2020/9/16]

1.call调用未对目标合约进行限制，攻击者可以调用任意合约，并接管了抵押挖矿合约的执行流程；<-主要漏洞，造成本次攻击的根本原因。

OneSwap智能合约代码通过慢雾、成都链安、PeckShield安全审计:据海外媒体消息，OneSwap已9月6日顺利通过智能合约代码安全审计，此次审计工作由三家业内知名的安全公司慢雾科技，派盾PeckShield，成都链安完成。在审计过程中，三家独立的审计团队采取自身独特的策略对OneSwap智能合约代码进行全方位开展代码审计工作，以最大程度确保及时发现漏洞。

审计团队分别从攻击漏洞测试、合约复杂度分析、代码通用性、链上数据安全、代码逻辑等方面对OneSwap智能合约代码进行全方位的测试分析。OneSwap智能合约代码均符合三家安全公司的安全审核标准，审计中发现的问题目前都已解决或正在解决中。

OneSwap是一个基于智能合约的完全去中心化的交易协议，在CFMM模型的基础之上引入链上订单簿来改善AMM用户的交易体验。上币无需许可，可支持自动化做市、支持挂单挖矿、流动性挖矿和交易挖矿。据官方消息，Oneswap将在2020年9月7日正式上线并开启公测。[2020/9/7]

2.函数未做防重入攻击；<-次要漏洞，导致了抵押凭证数量计算错误，不是本次攻击的主要利用点，不过也可凭此漏洞单独发起攻击。

动态 | 成都链安：10月发生较典型安全事件共5起:据成都链安态势感知平台——Beosin?Eagle-Eye统计数据显示，在过去一个月（10月）中，共发生5起较为典型的安全事件。其中包括：1.EOS链上本月内总共发生两起攻击事件：一是假EOS攻击；二是游戏服务器解析参数问题。2.亚马逊云服务平台AWS被爆遭到了DDoS攻击，并因此被迫中断了服务。3.网页加密货币钱包Safuwallet被黑客通过注入恶意代码窃取了大量资金，并且殃及币安。4.Cryptopia被盗资产开始转移：一部分ETH流入知名DeFi借贷平台Compound；另有数个ETH流入一个叫做DeFi 2.0的DApp项目。鉴于当前区块链安全新形势，Beosin成都链安在此提醒各链平台需要增强安全意识，重视各类型安全风险，必要时可寻求安全公司合作，通过第三方技术支持，排查安全漏洞，加固安全防线；各钱包项目应进一步做好安全方面的审查，有意识地增强项目系统架构的安全性，并建立完善的应急处理机制。如发生资产损失，可借助安全公司的帮助，进行资产溯源追踪；用户在进行投资行为时需谨慎，远离资金盘，切勿刀口舔血。[2019/10/31]

针对这两个问题，成都链安建议项目方应做好下面两方面：

1.进行外部合约调用时，建议增加白名单，禁止任意的合约调用，特别是能够控制合约执行流程的关键合约调用；

2.函数做好防重入，推荐使用openzeppelin的ReentrancyGuard合约。

此前消息称，流动性管理协议VisorFinance遭黑客攻击，损失约820万美元。BentFinance官方表示，攻击者盗取51.3万cvxcrvLP代币，建议所有用户现在撤回其MIMLP。Bent上的cvxcrv和mimCurve池是受影响的池，已禁用cvxcrv和mim池的奖励申领。

标签：SWAPESWAPONEESWSWAPTCCoffeeswapOnegetcoinGenieSwap

欧易okex官网热门资讯