加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > Luna > Info

慢霧:Grim Finance攻擊者利用傳入惡意代幣地址對depositFor進行重入攻擊_EOS:RIM

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,Fantom鏈上GrimFinance項目遭遇閃電貸攻擊,損失超3000萬美元,慢霧團隊對事件進行分析如下:

1.攻擊者通過閃電貸借出WFTM與BTC代幣,并在SpiritSwap中添加流動性獲得SPIRIT-LP流動性憑證。

2.隨后攻擊者通過GrimFinance的GrimBoostVault合約中的depositFor函數進行流動性抵押操作,而depositFor允許用戶指定轉入的token并通過safeTransferFrom將用戶指定的代幣轉入GrimBoostVault中,depositFor會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收want代幣,本次攻擊中應為SPIRIT-LP)的差值為用戶鑄造抵押憑證。

動態 | 慢霧: 警惕利用EOS及EOS上Token的提幣功能惡意挖礦:近期由于EIDOS空投導致EOS主網CPU資源十分緊張,有攻擊者開始利用交易所/DApp提幣功能惡意挖礦,請交易所/DApp在處理EOS及EOS上Token的提幣時,注意檢查用戶提幣地址是否是合約賬號,建議暫時先禁止提幣到合約賬號,避免被攻擊導致平臺提幣錢包的CPU資源被惡意消耗。同時,需要注意部分交易所的EOS充值錢包地址也是合約賬號,需要設置白名單避免影響正常用戶的提幣操作。[2019/11/6]

3.但由于depositFor函數并未檢查用戶指定轉入的token的合法性,攻擊者在調用depositFor函數時傳入了由攻擊者惡意創建的代幣合約地址。當GrimBoostVault通過safeTransferFrom函數調用惡意合約的transferFrom函數時,惡意合約再次重入調用了depositFor函數。

聲音 | 慢霧:警惕“假充值”攻擊:慢霧分析預警,如果數字貨幣交易所、錢包等平臺在進行“EOS 充值交易確認是否成功”的判斷存在缺陷,可能導致嚴重的“假充值”。攻擊者可以在未損失任何 EOS 的前提下成功向這些平臺充值 EOS,而且這些 EOS 可以進行正常交易。

慢霧安全團隊已經確認真實攻擊發生,但需要注意的是:EOS 這次假充值攻擊和之前慢霧安全團隊披露過的 USDT 假充值、以太坊代幣假充值類似,更多責任應該屬于平臺方。由于這是一種新型攻擊手法,且攻擊已經在發生,相關平臺方如果對自己的充值校驗沒有十足把握,應盡快暫停 EOS 充提,并對賬自查。[2019/3/12]

攻擊者進行了多次重入并在最后一次轉入真正的SPIRIT-LP流動性憑證進行抵押,此操作確保了在重入前后GrimBoostVault預期接收代幣的差值存在。隨后depositFor函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

聲音 | 慢霧:采用鏈上隨機數方案的 DApp 需緊急暫停:根據近期針對EOS DApp遭遇“交易排擠攻擊”的持續性威脅情報監測:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陸續被攻破,該攻擊團伙(floatingsnow等)的攻擊行為還在持續。在EOS主網從根本上解決這類缺陷之前,慢霧建議所有采用鏈上隨機數方案的DAPP緊急暫停并做好風控機制升級。為了安全起見,強烈建議所有競技類DAPP采用EOS官方很早就推薦的鏈下隨機種子的隨機數生成方案[2019/1/16]

4.由于攻擊者對GrimBoostVault合約重入了多次,因此GrimBoostVault合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在GrimBoostVault合約中取出了遠多于之前抵押的SPIRIT-LP流動性憑證。隨后攻擊者使用此SPIRIT-LP流動性憑證移除流動性獲得WFTM與BTC代幣并歸還閃電貸完成獲利。

此次攻擊是由于GrimBoostVault合約的depositFor函數未對用戶傳入的token的合法性進行檢查且無防重入鎖,導致惡意用戶可以傳入惡意代幣地址對depositFor進行重入獲得遠多于預期的抵押憑證。慢霧團隊建議:對于用戶傳入的參數應檢查其是否符合預期,對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。(來源鏈接)

Tags:EOSRIMGRIGRIMeos幣柚子SKYRIM價格grin幣用哪個錢包GRIM幣

Luna
Steam游戲傳奇開發者的鏈游初體驗:在虛擬世界我們如何進行道德抉擇?_OLY:MOL

原文來源:TheVerge原文編譯:翻譯官偵探,老雅痞曾經參與開發《神鬼寓言》、《Populous》和《黑與白》等游戲的PeterMolyneux,作為Steam多款著名游戲的傳奇開發者.

1900/1/1 0:00:00
騰訊2021元宇宙年報:元宇宙為反思人與媒介、技術之間的關系提供了契機_元宇宙:METAWEB3PA價格

作者:騰訊科技 原標題:《2021-2022元宇宙報告》 點擊此處獲取PDF文檔 2021年,如果有什么東西能夠吸引全球的目光,那元宇宙一定榜上有名.

1900/1/1 0:00:00
解析去中心化穩定幣的逆襲之路:UST和MIM_USD:UST

撰文|MagicVentures原文標題:《去中心化穩定幣的逆襲之路:UST和MIM》穩定幣是整個市場最重要,也是最賺錢的基礎設施,這是無需證明的,僅從過去幾年它的市值增長就能窺探一二.

1900/1/1 0:00:00
AC新項目有多火?一夜之間引爆 Fantom 的 Vampire War_DAO:DOGEDAO價格

原文作者:0x137 還記得曠日持久的CurveWar嗎?協議們為了話語權激烈廝殺。現在,「CurveWar」在Fantom鏈上被復制,受到YFI創始人AndrewCronje的號召,所有人的目.

1900/1/1 0:00:00
如何根據FDV與代幣解鎖事件建立投資決策?_區塊鏈:Crypto Warz

作者:Cobie,知名推特KOL原標題:《Onthememeofmarketcaps&unlocks》 編譯:谷昱,鏈捕手 這里是一些關于市值、估值、代幣經濟學和解鎖的一些想法.

1900/1/1 0:00:00
Polygon Gas費用上漲超10倍,P2E 游戲 Sunflower Farmers 惹的“禍”?_POL:Polygon Ecosystem Index

作者:念青,鏈捕手 如果你最近兩天在Polygon上有過交易,一定會發現Gas費高的嚇人,網絡還經常卡頓.

1900/1/1 0:00:00
ads