比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 波場 > Info

慢霧安全團隊分析Grim Finance被攻擊經過和原因_RIM

Author:

Time:1900/1/1 0:00:00

Fantom鏈上復合收益平臺GrimFinance遭遇閃電貸攻擊,涉及損失資金超3000萬美金。慢霧安全團隊進行分析了攻擊經過如下:

1.攻擊者通過閃電貸借出WFTM與BTC代幣,并在SpiritSwap中添加流動性獲得SPIRIT-LP流動性憑證。

2.隨后攻擊者通過GrimFinance的GrimBoostVault合約中的depositFor函數進行流動性抵押操作,而depositFor允許用戶指定轉入的token并通過safeTransferFrom將用戶指定的代幣轉入GrimBoostVault中,depositFor會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收want代幣,本次攻擊中應為SPIRIT-LP)的差值為用戶鑄造抵押憑證。

動態 | 慢霧安全團隊發布門羅幣攻擊嚴重漏洞預警:慢霧安全團隊注意到,門羅幣修復新型假充值攻擊漏洞,問題出現在錢包處理隱身地址(stealth address)收款的校驗機制上。隱身地址是門羅幣匿名的關鍵機制之一,如果使用了這個機制來接收用戶的匿名轉賬,攻擊者可以向隱身地址發起惡意構造的重復轉賬,交易所錢包沒對這些重復轉賬進行正確性校驗的話,就可能會導致“假充值”攻擊發生,從而造成嚴重損失。[2018/9/27]

3.但由于depositFor函數并未檢查用戶指定轉入的token的合法性,攻擊者在調用depositFor函數時傳入了由攻擊者惡意創建的代幣合約地址。當GrimBoostVault通過safeTransferFrom函數調用惡意合約的transferFrom函數時,惡意合約再次重入調用了depositFor函數。攻擊者進行了多次重入并在最后一次轉入真正的SPIRIT-LP流動性憑證進行抵押,此操作確保了在重入前后GrimBoostVault預期接收代幣的差值存在。隨后depositFor函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

動態 | 網傳“Fomo 3D遭受黑客攻擊” 慢霧安全團隊判斷為DDoS攻擊:網傳“Fomo 3D遭受黑客攻擊”,慢霧安全團隊判斷為Fomo 3D網站遭受了DDoS攻擊,但以太坊上智能合約不受影響,因為以太坊網絡Gas值尚在正常范圍內。目前,Fomo 3D網站使用的安全管理網站Cloudflare已開啟高防驗證,用戶需等待5秒才能訪問網站。據悉,5秒等待時間幾乎是Cloudflare的最高級DDoS防御策略。[2018/7/31]

4.由于攻擊者對GrimBoostVault合約重入了多次,因此GrimBoostVault合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在GrimBoostVault合約中取出了遠多于之前抵押的SPIRIT-LP流動性憑證。隨后攻擊者使用此SPIRIT-LP流動性憑證移除流動性獲得WFTM與BTC代幣并歸還閃電貸完成獲利。

聲音 | 慢霧安全團隊:區塊鏈技術本身存在安全缺陷 可參考以太坊漏洞賞金計劃實現安全:據火訊財經報道,慢霧安全團隊表示,區塊鏈技術本身存在安全缺陷,研究區塊鏈安全的可以參考以太坊漏洞賞金計劃實現安全,包括:1. 客戶端協議實現安全;2. 網絡安全;3. 節點安全;4. 客戶端應用安全;5. 算法使用安全;6. Solidity 語言安全;7. ENS 安全。[2018/7/2]

此次攻擊是由于GrimBoostVault合約的depositFor函數未對用戶傳入的token的合法性進行檢查且無防重入鎖,導致惡意用戶可以傳入惡意代幣地址對depositFor進行重入獲得遠多于預期的抵押憑證。

慢霧安全團隊建議:對于用戶傳入的參數應檢查其是否符合預期,對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。

參考攻擊交易:https://ftmscan.com/tx/0x19315e5b150d0a83e797203bb9c957ec1fa8a6f404f4f761d970cb29a74a5dd6

Tags:GRIMRIMGRIPOSGRIMACE價格SKRIMP幣TGRIPoSToken

波場
韓國立法者反對加密交易的“知道發送者(KTS)”規則_加密貨幣

據Cointelegraph報道,韓國的加密社區可能很快就會面臨所有加密貨幣交易的嚴格報告要求,該國國民議會目前正在辯論是否應該實施“知道發送者”規則.

1900/1/1 0:00:00
B站測試“高能鏈”,啟動“元宇宙”業務_數字資產

據Tech星球報道,B站正在測試相關元宇宙業務“高能鏈”。區塊鏈是打造元宇宙必不可少的底層技術,B站的元宇宙基于區塊鏈技術。據悉,高能鏈是為新應用、文化、游戲以及數字資產構建的數字原生社區.

1900/1/1 0:00:00
《雪崩》作者Neal Stephenson:目前的元宇宙熱潮是為搶商標地位_CYBER

據CNBC報道,元宇宙一詞發明者、《雪崩》作者NealStephenson接受采訪時回應了時下的元宇宙熱潮。他表示:“目前的一些熱潮可能是為了先發制人,以免被其他公司搶先確立商標地位.

1900/1/1 0:00:00
DeFi協議Solv Protocol完成400萬美元融資,Blockchain Capital、Sfermion和Gumi Cryptos Capital聯合領投_RIZZ

總部位于新加坡的專注于金融NFT創建與交易的DeFi協議SolvProtocol完成超過400萬美元融資.

1900/1/1 0:00:00
成都鏈安:Visor Finance遭受攻擊事件分析_BNB

據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,VisorFinance于北京時間2021年12月21日晚上10點18分遭受攻擊.

1900/1/1 0:00:00
Coinbase擬收購合規交易所 FairX 以進入衍生品交易市場_OIN

Coinbase宣布正在收購受美國商品期貨交易委員會(CFTC)監管的衍生品交易所FairX,收購預計將在Coinbase的第一財季完成,交易金額未透露.

1900/1/1 0:00:00
ads