PANews 12月22日消息,據成都鏈安鏈必應-區塊鏈安全態勢感知平台輿情監測顯示,Visor Finance於北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析,本次攻擊利用了Visor Finance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:

1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,並接管了抵押挖礦合約的執行流程;<- 主要漏洞,造成本次攻擊的根本原因。

2.函數未做防重入攻擊;<- 次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。

針對這兩個問題,成都鏈安建議項目方應做好下面兩方面:

1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;

2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。

此前消息稱,流動性管理協議Visor Finance遭黑客攻擊,損失約820萬美元。 Bent Finance官方表示,攻擊者盜取51.3萬cvxcrv LP代幣,建議所有用戶現在撤回其MIM LP。 Bent上的cvxcrv和mim Curve池是受影響的池,已禁用cvxcrv和mim池的獎勵申領。