以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > UNI > Info

ITF:慢霧:Grim Finance攻擊者利用傳入惡意代幣地址對depositFor進行重入攻擊

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,Fantom鏈上GrimFinance項目遭遇閃電貸攻擊,損失超3000萬美元,慢霧團隊對事件進行分析如下:

1.攻擊者通過閃電貸借出WFTM與BTC代幣,并在SpiritSwap中添加流動性獲得SPIRIT-LP流動性憑證。

2.隨后攻擊者通過GrimFinance的GrimBoostVault合約中的depositFor函數進行流動性抵押操作,而depositFor允許用戶指定轉入的token并通過safeTransferFrom將用戶指定的代幣轉入GrimBoostVault中,depositFor會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收want代幣,本次攻擊中應為SPIRIT-LP)的差值為用戶鑄造抵押憑證。

慢霧:Apple Store惡意釣魚程序可模仿正常應用程序,盜取賬號密碼以繞過2FA:7月25日消息,慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例,其中Apple Store出現惡意釣魚程序,通過模仿正常應用程序盜取用戶賬號和密碼,然后攻擊者把自己的號碼加入雙重認證的信任號碼,控制賬號權限,用來繞過蘋果的2FA。“加密貨幣用戶務必注意,因為目前有不少用戶、錢包的備份方案是iCloud備份,一旦被攻擊,可能造成資產損失”。[2023/7/25 15:56:56]

3.但由于depositFor函數并未檢查用戶指定轉入的token的合法性,攻擊者在調用depositFor函數時傳入了由攻擊者惡意創建的代幣合約地址。當GrimBoostVault通過safeTransferFrom函數調用惡意合約的transferFrom函數時,惡意合約再次重入調用了depositFor函數。

慢霧:過去一周加密領域因安全事件累計損失3060萬美元:7月24日消息,據慢霧統計,上周加密領域因遭遇攻擊累計損失3060萬美元,攻擊者利用了不同的攻擊向量。這些事件包括Alphapo熱錢包被盜(損失2300萬美元)、Conic Finance遭閃電貸攻擊(損失30萬美元)以及重入攻擊(損失320萬美元)、GMETA發生RugPull(損失360萬美元)、BNO遭閃電貸攻擊(損失50萬美元)等。[2023/7/24 15:55:56]

攻擊者進行了多次重入并在最后一次轉入真正的SPIRIT-LP流動性憑證進行抵押,此操作確保了在重入前后GrimBoostVault預期接收代幣的差值存在。隨后depositFor函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

慢霧:共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息,慢霧首席信息安全官23pds發推表示,針對共享Apple ID導致資產被盜現象,核心問題是應用沒有和設備碼綁定,目前99%的錢包、交易App等都都存在此類問題,沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行,攻擊者在配合其他手法如社工、爆破等獲取的密碼,導致資產被盜。23pds提醒用戶不要使用共享Apple ID等,同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

4.由于攻擊者對GrimBoostVault合約重入了多次,因此GrimBoostVault合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在GrimBoostVault合約中取出了遠多于之前抵押的SPIRIT-LP流動性憑證。隨后攻擊者使用此SPIRIT-LP流動性憑證移除流動性獲得WFTM與BTC代幣并歸還閃電貸完成獲利。

此次攻擊是由于GrimBoostVault合約的depositFor函數未對用戶傳入的token的合法性進行檢查且無防重入鎖,導致惡意用戶可以傳入惡意代幣地址對depositFor進行重入獲得遠多于預期的抵押憑證。慢霧團隊建議:對于用戶傳入的參數應檢查其是否符合預期,對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。(來源鏈接)

Tags:GRIMGRIRIMITFGrimace CoinGRID幣primordialplanetcoinfitfi幣今日為何暴跌

UNI
BAN:Banksea Finance 宣布完成數百萬美元戰略融資

鏈捕手消息,AI技術驅動的NFTOracle和NFTPool-basedLending項目BankseaFinance宣布完成數百萬美元戰略融資.

1900/1/1 0:00:00
元宇宙:2022年,美國監管政策將如何影響加密市場?

來源:孫銘律師,智堡年會演講 整理:有匪,分布式資本 原標題為:《簡析美國對虛擬貨幣的監管政策現狀以及展望》美國現有的監管體系及各部門的職能總體上,就美國的監管框架而言.

1900/1/1 0:00:00
DEGO:誘使被害人投資虛擬貨幣詐騙1.4億元,部掛牌督辦“509”專案一審審結

鏈捕手消息,部掛牌督辦、四川省廳提級偵辦的特大電信網絡詐騙案件“509”專案已一審審結。據悉,犯罪嫌疑人通過在直播過程故意露出賺取巨額利潤的虛擬幣賬戶等手段,誘使被害人投資虛擬貨幣.

1900/1/1 0:00:00
WEB3:研報 | 深入理解Web3.0的主要特征:開放、隱私、共建

原標題:《Web3.0:開放、隱私、共建》 來源:DeFi之道 Web2.0時代,以互聯網巨頭為核心,形成多個生態圈,核心互聯網公司對數據、價值和網絡效應具有壟斷性.

1900/1/1 0:00:00
AEX:香港擬2023/24年之前引入新的加密貨幣監管計劃

鏈捕手消息,香港擬2023/24年之前引入新的加密貨幣監管計劃。據悉香港金融管理局發布一份關于加密資產和穩定幣的討論文件,邀請業界和公眾就有關的監管模式在今年3月31日或之前提出意見,預計會在今.

1900/1/1 0:00:00
TAL:盤點2021年20家融資金額最高的加密公司/項目:FTX、NYDIG、DCG 位居前三,均超13億美元

整理:董一鳴,鏈捕手 2021年,隨著加密市場的持續發展,越來越多資金流入加密行業,其中不乏數億美元的融資事件.

1900/1/1 0:00:00
ads