Uniswap V3流动性管理协议Visor Finance再次遭受黑客攻击,黑客利用可重入漏洞耗尽了880万枚VISR代币,总损失约为820万美元。尽管完整的报告尚未公布,但人们认为黑客利用该漏洞更改了奖励合约的所有者,以便他们可以铸造额外的vVISR奖励代币。Visor团队分享了这次黑客攻击的详细信息,并指出他们发现了一个影响其vVISR质押合约的漏洞。该团队补充说,没有头寸或管理程序面临风险。该事件主要影响VISR质押者和代币持有者,因为自攻击以来VISR已下跌超过95%。为了补偿用户,Visor团队宣布将根据黑客攻击前拍摄的快照安排迁移日期。
据成都链安监测显示,Visor Finance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析,本次攻击利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞: 1.call调用未对目标合约进行限制,攻击者可以调用任意合约,并接管了抵押挖矿合约的执行流程;<- 主要漏洞,造成本次攻击的根本原因。2.函数未做防重入攻击;<- 次要漏洞,导致了抵押凭证数量计算错误,不是本次攻击的主要利用点,不过也可凭此漏洞单独发起攻击。针对这两个问题,成都链安在此建议项目方应做好下面两方面:1.进行外部合约调用时,建议增加白名单,禁止任意的合约调用,特别是能够控制合约执行流程的关键合约调用;2.函数做好防重入,推荐使用openzeppelin的ReentrancyGuard合约。
官方消息,Bella Protocol表示,其开发人员获得由Visor Finance资助的Gamma Strategies提供的20,000美元赠款,用于创建综合性的Uniswap v3模拟器Tuner。Tuner专注于在没有EVM的情况下逐个交易地以编程方式模拟Uniswap V3协议。
11月27日消息,BlockSec发推称:"昨天,我们报告了针对Visor Finance的攻击。我们随后删除了该推文,因为担心这些披露的信息可能被滥用来攻击他人。然后我们确认了其他池是安全的(白帽黑客samczsun对此也予以确认)。不幸的是,该报告完全被项目方忽略了。他们没有立即作出反应。没有公开声明,也没有事后报告。此外,另一位研究人员‘qiuyue’在推特上说,他的报告也完全被忽略了。这让我们重新思考在DeFi世界中,报告和披露安全漏洞的正确方法是什么。
官方消息,Visor Finance宣布完成350万美元战略融资,1confirmation领投,Digital Currency Group、Blockchain Capital、1kx、DeFi Alliance、Decentral Park、Electric Capital、Maven 11、Spartan、Tribe Capital和GSR参投。资金将用于开发其主动管理协议的下一阶段,专注于 UI 和协议升级、L2 部署、两次详尽的审计、额外的流动性场所、增加 TVL 的战略资本合作伙伴以及推动更高回报的创新工具和策略。(Medium)
基于Uniswap V3的DeFi流动性协议Visor Finance就此前发生的攻击事件发布报告称,攻击者获得了一个管理帐户的访问权限,能够从尚未存入流动性提供者头寸的存款中提取资金。报告称,被盗金额约占其300万美元TVL的16.7%(约合50万美元),并证实该黑客并非团队成员,因此对其紧急提款保障措施缺乏充分了解,被盗资金仅限于未配置的资产。(BeInCrypto)
据官方消息,DeFi 流动性协议Visor Finance智能合约被爆出问题之后,Visor Finance表示:"我们挽救了剩余的资金。 50 万美元被利用,将动用国库支付损失。关于此次的事件报告即将到来。"今日晚间,DeFi 流动性协议Visor Finance被紧急提现 230ETH,资金随后被转移至以太坊隐私交易平台 Tornado.cash。
链上期权协议Charm核心开发者通过以太坊区块链浏览器发现,基于 Uniswap V3 的 DeFi 流动性协议 Visor Finance 智能合约被紧急提现 230ETH,后资金被转移至以太坊隐私交易平台 Tornado.cash。据 CoinGecko 数据显示,Visor Finance 代币 VISR 今日下跌已超 60%。(链闻)
5月18日消息,DeFi协议Visor Finance宣布,在Uniswap V3上推出主动流动性管理Beta版,包括Visor的技术栈、Gamma LP策略、向VISR质押者分配费用。
