比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

RIM:慢霧安全團隊分析Grim Finance被攻擊經過和原因

Author:

Time:1900/1/1 0:00:00

Fantom鏈上復合收益平臺GrimFinance遭遇閃電貸攻擊,涉及損失資金超3000萬美金。慢霧安全團隊進行分析了攻擊經過如下:

1.攻擊者通過閃電貸借出WFTM與BTC代幣,并在SpiritSwap中添加流動性獲得SPIRIT-LP流動性憑證。

2.隨后攻擊者通過GrimFinance的GrimBoostVault合約中的depositFor函數進行流動性抵押操作,而depositFor允許用戶指定轉入的token并通過safeTransferFrom將用戶指定的代幣轉入GrimBoostVault中,depositFor會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收want代幣,本次攻擊中應為SPIRIT-LP)的差值為用戶鑄造抵押憑證。

現場 | 慢霧安全負責人:好的公鏈需要滿足安全穩定運行最基本的要求:金色財經11月9日現場報道,今日,由imondo和鏈人聯合主辦的“DAPP開發者大會”在北京舉行。慢霧安全負責人海賊王做了以“DApp安全現狀深度分析”為主題的演講。他表示,現在的公鏈如以太坊、EOS,都有自己的優勢,應保持開放的心態去看待公鏈。好的公鏈應該滿足一些基本要求,即公鏈需穩定運行,官方錢包要安全可靠,區塊鏈瀏覽器要安全可用。[2018/11/9]

3.但由于depositFor函數并未檢查用戶指定轉入的token的合法性,攻擊者在調用depositFor函數時傳入了由攻擊者惡意創建的代幣合約地址。當GrimBoostVault通過safeTransferFrom函數調用惡意合約的transferFrom函數時,惡意合約再次重入調用了depositFor函數。攻擊者進行了多次重入并在最后一次轉入真正的SPIRIT-LP流動性憑證進行抵押,此操作確保了在重入前后GrimBoostVault預期接收代幣的差值存在。隨后depositFor函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

動態 | 網傳“Fomo 3D遭受黑客攻擊” 慢霧安全團隊判斷為DDoS攻擊:網傳“Fomo 3D遭受黑客攻擊”,慢霧安全團隊判斷為Fomo 3D網站遭受了DDoS攻擊,但以太坊上智能合約不受影響,因為以太坊網絡Gas值尚在正常范圍內。目前,Fomo 3D網站使用的安全管理網站Cloudflare已開啟高防驗證,用戶需等待5秒才能訪問網站。據悉,5秒等待時間幾乎是Cloudflare的最高級DDoS防御策略。[2018/7/31]

4.由于攻擊者對GrimBoostVault合約重入了多次,因此GrimBoostVault合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在GrimBoostVault合約中取出了遠多于之前抵押的SPIRIT-LP流動性憑證。隨后攻擊者使用此SPIRIT-LP流動性憑證移除流動性獲得WFTM與BTC代幣并歸還閃電貸完成獲利。

分析 | 慢霧安全團隊提醒|EOS假賬號安全風險預警:根據IMEOS報道,EOS 假賬號安全風險預警,慢霧安全團隊提醒:

如果 EOS 錢包開發者沒對節點確認進行嚴格判斷,比如應該至少判斷 15 個確認節點才能告訴用戶賬號創建成功,那么就可能出現假賬號攻擊。

攻擊示意如下:

1. 用戶使用某款 EOS 錢包注冊賬號(比如 aaaabbbbcccc),錢包提示注冊成功,但由于判斷不嚴格,這個賬號本質是還沒注冊成功

2. 用戶立即拿這個賬號去某交易所做提現操作

3. 如果這個過程任意環節作惡,都可能再搶注 aaaabbbbcccc 這個賬號,導致用戶提現到一個已經不是自己賬號的賬號里

防御建議:輪詢節點,返回不可逆區塊信息再提示成功,具體技術過程如下:

1. push_transaction 后會得到 trx_id

2. 請求接口 POST /v1/history/get_transaction

3. 返回參數中 block_num 小于等于 last_irreversible_block 即為不可逆[2018/7/16]

此次攻擊是由于GrimBoostVault合約的depositFor函數未對用戶傳入的token的合法性進行檢查且無防重入鎖,導致惡意用戶可以傳入惡意代幣地址對depositFor進行重入獲得遠多于預期的抵押憑證。

慢霧安全團隊建議:對于用戶傳入的參數應檢查其是否符合預期,對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。

參考攻擊交易:https://ftmscan.com/tx/0x19315e5b150d0a83e797203bb9c957ec1fa8a6f404f4f761d970cb29a74a5dd6

Tags:RIMPOSGRIGRIMSHRIMPposeidongrin幣行情GRIMEX

幣安下載
USD:流動性質押協議 pSTAKE 完成 1000 萬美元戰略融資,三箭資本、紅杉印度、Galaxy Digital 等領投

來自Persistence團隊的Cosmos流動性質押協議pSTAKE周二完成1000萬美元戰略融資,三箭資本、紅杉印度、GalaxyDigital和DefianceCapital領投.

1900/1/1 0:00:00
DAO:Rari Capital 和 Fei Protocol 價值數十億美元的DAO合并提案獲得通過

據CoinDesk報道,周二在以太坊區塊高度13850929處,合并RariCapital和FeiProtocol的投票獲得了兩個DAO成員的批準.

1900/1/1 0:00:00
ETH:云原生游戲工作室Mainframe Industries完成由 a16z 領投的2290萬美元融資

云原生游戲工作室MainframeIndustries完成2290萬美元融資,a16z等領投。由前CCP、RemedyEntertainment和NextGames資深人士創立的芬蘭-冰島游戲工.

1900/1/1 0:00:00
MON:Monaco Planet 因僅支持英文內容挖礦引發中文社區不滿,NFT價格暴跌

據官方消息,SocialFi項目MonacoPlanet在社交平臺發布消息稱:“請注意,只有英文內容才算作內容挖礦,內容質量也是內容挖礦衡量的一個關鍵方面.

1900/1/1 0:00:00
比特幣:IMF:比特幣作為法定貨幣、新的支付生態系統和比特幣交易產生的風險應該得到解決

國際貨幣基金組織發布了2021年第四條評估團的工作人員總結聲明。聲明稱,“改善金融包容性和促進增長的努力是受歡迎的,但比特幣作為法定貨幣、新的支付生態系統和比特幣交易產生的風險應該得到解決.

1900/1/1 0:00:00
BCH:網傳Huobi Global將收取未提幣中國大陸用戶賬戶管理費

網傳一則消息顯示,HuobiGlobal將于2022年2月1日起,對還有資產的中國大陸用戶每月收取0.2%的賬戶管理費,后續賬戶管理費將納入“火幣慈善基金”并進行公示.

1900/1/1 0:00:00
ads