成都链安:攻击者利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞

火星财经消息,据成都链安链必应-区块链安全态势感知平台舆情监测显示,Visor Finance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析,本次攻击利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞:

1. call调用未对目标合约进行限制,攻击者可以调用任意合约,并接管了抵押挖矿合约的执行流程;<- 主要漏洞,造成本次攻击的根本原因。2. 函数未做防重入攻击;<- 次要漏洞,导致了抵押凭证数量计算错误,不是本次攻击的主要利用点,不过也可凭此漏洞单独发起攻击。

针对这两个问题,成都链安在此建议项目方应做好下面两方面:1. 进行外部合约调用时,建议增加白名单,禁止任意的合约调用,特别是能够控制合约执行流程的关键合约调用;2. 函数做好防重入,推荐使用openzeppelin的ReentrancyGuard合约。

版权声明:
作者:春分财经
链接:http://www.mingyouwang.cn/ydzygl/16322.html
来源:
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码