DEFI:慢雾:Grim Finance攻击者利用传入恶意代币地址对depositFor进行重入攻击_KAK

链捕手消息,Fantom链上GrimFinance项目遭遇闪电贷攻击,损失超3000万美元,慢雾团队对事件进行分析如下:

1.攻击者通过闪电贷借出WFTM与BTC代币,并在SpiritSwap中添加流动性获得SPIRIT-LP流动性凭证。

2.随后攻击者通过GrimFinance的GrimBoostVault合约中的depositFor函数进行流动性抵押操作,而depositFor允许用户指定转入的token并通过safeTransferFrom将用户指定的代币转入GrimBoostVault中,depositFor会根据用户转账前后本合约与策略池预期接收代币(预期接收want代币,本次攻击中应为SPIRIT-LP)的差值为用户铸造抵押凭证。

“购买加密货币”的谷歌搜索量达到两年高点:金色财经报道,谷歌趋势数据显示,在过去几周内,“购买加密货币(buy crypto)”的搜索量在全球范围内激增至两年来的最高水平,这表明散户投资者对该领域表现出了极大的兴趣。[2020/8/19]

3.但由于depositFor函数并未检查用户指定转入的token的合法性,攻击者在调用depositFor函数时传入了由攻击者恶意创建的代币合约地址。当GrimBoostVault通过safeTransferFrom函数调用恶意合约的transferFrom函数时,恶意合约再次重入调用了depositFor函数。

新木马入侵谷歌2FA验证程序窃取代码或影响加密资产安全:一款名为Cerberus的新恶意软件现在通过窃取谷歌认证应用程序提供的密码来攻击android智能手机。根据研究小组的报告,Cerberus可以做一些其他极少数木马能够做到的事情,破坏谷歌身份验证应用程序,窃取它的一次性代码,这些代码通常被用来确保访问比特币钱包或数字交易账户的安全。到目前为止,这个谷歌应用程序被认为是最好的保护,比基于SMS的安全代码更有效。报告称,该木马的现代版本已经得到了显著的改进,其功能已经接近远程访问木马。后者被认为是一种非常强大的恶意软件。研究人员说,到目前为止,升级的木马还没有在黑客论坛上分享。然而,他们警告说,这很可能在不久的将来发生。(U.Today)[2020/2/28]

攻击者进行了多次重入并在最后一次转入真正的SPIRIT-LP流动性凭证进行抵押,此操作确保了在重入前后GrimBoostVault预期接收代币的差值存在。随后depositFor函数根据此差值计算并为攻击者铸造对应的抵押凭证。

动态 | 在谷歌出现两个韩国虚拟货币交易所Upbit:据Thebchain消息,7月2日,Upbit给用户警告邮件,其内容中写着,在谷歌搜查韩国虚拟货币交易所Upbit时会出现两个链接。用户在登陆Upbit时务必确认URL地址。相继Upbit对假冒网站在谷歌进行举报,并持续与谷歌相关人员进行沟通。[2019/7/3]

4.由于攻击者对GrimBoostVault合约重入了多次,因此GrimBoostVault合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在GrimBoostVault合约中取出了远多于之前抵押的SPIRIT-LP流动性凭证。随后攻击者使用此SPIRIT-LP流动性凭证移除流动性获得WFTM与BTC代币并归还闪电贷完成获利。

此次攻击是由于GrimBoostVault合约的depositFor函数未对用户传入的token的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对depositFor进行重入获得远多于预期的抵押凭证。慢雾团队建议:对于用户传入的参数应检查其是否符合预期,对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。(来源链接)

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:15ms0-9:499ms