比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 區塊鏈 > Info

RIM:慢霧:Grim Finance攻擊者利用傳入惡意代幣地址對depositFor進行重入攻擊_bitflyer60

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,Fantom鏈上GrimFinance項目遭遇閃電貸攻擊,損失超3000萬美元,慢霧團隊對事件進行分析如下:

1.攻擊者通過閃電貸借出WFTM與BTC代幣,并在SpiritSwap中添加流動性獲得SPIRIT-LP流動性憑證。

2.隨后攻擊者通過GrimFinance的GrimBoostVault合約中的depositFor函數進行流動性抵押操作,而depositFor允許用戶指定轉入的token并通過safeTransferFrom將用戶指定的代幣轉入GrimBoostVault中,depositFor會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收want代幣,本次攻擊中應為SPIRIT-LP)的差值為用戶鑄造抵押憑證。

慢霧:針對macOS系統惡意軟件RustBucket竊取系統信息:金色財經報道,SlowMist發布安全警報,針對macOS 運行系統的 Rust 和 Objective-C 編寫的惡意軟件RustBucket,感染鏈由一個 macOS 安裝程序組成,該安裝程序安裝了一個帶后門但功能正常的 PDF 閱讀器。然后偽造的 PDF 閱讀器需要打開一個特定的 PDF 文件,該文件作為觸發惡意活動的密鑰。[2023/5/23 15:20:27]

3.但由于depositFor函數并未檢查用戶指定轉入的token的合法性,攻擊者在調用depositFor函數時傳入了由攻擊者惡意創建的代幣合約地址。當GrimBoostVault通過safeTransferFrom函數調用惡意合約的transferFrom函數時,惡意合約再次重入調用了depositFor函數。

慢霧:Lendf.Me攻擊者剛歸還了126,014枚PAX:慢霧安全團隊從鏈上數據監測到,Lendf.Me攻擊者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)剛向Lendf.Me平臺admin賬戶(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)轉賬126,014枚PAX,并附言\"Better future\"。隨后Lendf.Me平臺admin賬戶通過memo回復攻擊者并帶上聯系郵箱。此外,Lendf.Me攻擊者錢包地址收到一些受害用戶通過memo求助。[2020/4/20]

攻擊者進行了多次重入并在最后一次轉入真正的SPIRIT-LP流動性憑證進行抵押,此操作確保了在重入前后GrimBoostVault預期接收代幣的差值存在。隨后depositFor函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

動態 | 慢霧:巨鯨被盜2.6億元資產,或因Blockchain.info安全體系存在缺陷:針對加密巨鯨賬戶(zhoujianfu)被盜價值2.6億元的BTC和BCH,慢霧安全團隊目前得到的推測如下:該大戶私鑰自己可以控制,他在Reddit上發了BTC簽名,已驗證是對的,且猜測是使用了一款很知名的去中心化錢包服務,而且這種去中心化錢包居然還需要SIM卡認證,也就是說有用戶系統,可以開啟基于SIM卡的短信雙因素認證,猜測可能是Blockchain.info,因為它吻合這些特征,且歷史上慢霧安全團隊就收到幾起Blockchain.info用戶被盜幣的威脅情報,Blockchain.info的安全體系做得并不足夠好。目前慢霧正在積極跟進更多細節,包括與該大戶直接聯系以及盡力提供可能需求的幫助。[2020/2/22]

4.由于攻擊者對GrimBoostVault合約重入了多次,因此GrimBoostVault合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在GrimBoostVault合約中取出了遠多于之前抵押的SPIRIT-LP流動性憑證。隨后攻擊者使用此SPIRIT-LP流動性憑證移除流動性獲得WFTM與BTC代幣并歸還閃電貸完成獲利。

此次攻擊是由于GrimBoostVault合約的depositFor函數未對用戶傳入的token的合法性進行檢查且無防重入鎖,導致惡意用戶可以傳入惡意代幣地址對depositFor進行重入獲得遠多于預期的抵押憑證。慢霧團隊建議:對于用戶傳入的參數應檢查其是否符合預期,對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。(來源鏈接)

Tags:RIMGRIGRIMITFGrimace CoinJohnny Grillz DogeGRIM幣bitflyer60

區塊鏈
加密貨幣:當硅谷巨頭仍猶豫不決時,它們的員工正大范圍奔向加密行業_STA

作者:DaisukeWakabayashi,MikeIsaac原標題:《TheNewGet-Rich-FasterJobinSiliconValley:CryptoStart-Ups》編譯:Ri.

1900/1/1 0:00:00
TAL:盤點2021年20家融資金額最高的加密公司/項目:FTX、NYDIG、DCG 位居前三,均超13億美元_API

整理:董一鳴,鏈捕手 2021年,隨著加密市場的持續發展,越來越多資金流入加密行業,其中不乏數億美元的融資事件.

1900/1/1 0:00:00
YTH:Solana生態預言機Pyth Network:傳統金融世界的連接器_YTH幣

作者:深潮TechFlow2022年,最值得期待的項目有哪些?如果非要提名,那么毫無疑問Solana生態預言機PythNetwork榜上有名:神秘且強大的團隊背景;眾多華爾街頂級金融機構、大型加.

1900/1/1 0:00:00
AND:深度長文解析元宇宙先行者Decentraland_LAND

原標題:《Decentraland:元宇宙的先行者》作者:MarioGabriele翻譯:blockunicorn過去一年,虛擬世界的用戶增長了3,300%,市值達到120億美元的峰值.

1900/1/1 0:00:00
AXI:鏈游的困境與出路,一場暴風雨正在醞釀_區塊鏈

原文標題:《哈佛大學區塊鏈俱樂部:鏈游的困境與出路,一場暴風雨正在醞釀》編譯:0xzshanzha,深潮TechFlow在80年代,基于文本的MUD游戲占據了主導地位.

1900/1/1 0:00:00
GAS:觀點:以太坊轉POS后Gas費不會降低,擺脫“貴族鏈”還需分片與L2_波場幣在以太坊發布

作者:吳卓鋮 原文標題:《分析:以太坊轉POS后Gas費不會降低擺脫“貴族鏈”還需分片與L2》 編輯:ColinWu 人們對以太坊2.0抱著極大期望,但普遍存在誤解.

1900/1/1 0:00:00
ads