RIM:慢雾安全团队分析Grim Finance被攻击经过和原因_GRI

Fantom链上复合收益平台GrimFinance遭遇闪电贷攻击，涉及损失资金超3000万美金。慢雾安全团队进行分析了攻击经过如下：

1.攻击者通过闪电贷借出WFTM与BTC代币，并在SpiritSwap中添加流动性获得SPIRIT-LP流动性凭证。

2.随后攻击者通过GrimFinance的GrimBoostVault合约中的depositFor函数进行流动性抵押操作，而depositFor允许用户指定转入的token并通过safeTransferFrom将用户指定的代币转入GrimBoostVault中，depositFor会根据用户转账前后本合约与策略池预期接收代币(预期接收want代币，本次攻击中应为SPIRIT-LP)的差值为用户铸造抵押凭证。

Cardano创始人：ADA未上架Gemini或是正确选择，因为ADA也没上FTX:金色财经报道，Cardano创始人Charles Hoskinson 在最新 Twitter Space 上发表了ADA 未在 Gemini 加密货币交易所上架的看法，他表示并不介意 Gemini 这种做法，甚至对此表示欢迎，因为FTX也没有上线 ADA，从而确保Cardano原生资产在 FTX 崩盘中没有损失。而当Genesis Digital Trading暂停提款并面临破产风险时，Gemini 旗下 Earn Program 则遇到麻烦，结果导致暂停服务并欠下9亿美元用户资产。[2022/12/27 22:10:02]

3.但由于depositFor函数并未检查用户指定转入的token的合法性，攻击者在调用depositFor函数时传入了由攻击者恶意创建的代币合约地址。当GrimBoostVault通过safeTransferFrom函数调用恶意合约的transferFrom函数时，恶意合约再次重入调用了depositFor函数。攻击者进行了多次重入并在最后一次转入真正的SPIRIT-LP流动性凭证进行抵押，此操作确保了在重入前后GrimBoostVault预期接收代币的差值存在。随后depositFor函数根据此差值计算并为攻击者铸造对应的抵押凭证。

Cardano链上总锁仓量突破3亿美元:3月30日消息，Cardano链上锁仓量已突破3亿美元，自2022年初以来已上涨39,000%。此前报道，Cardano链上总锁仓量在3月10日突破2亿美元，这意味着单月锁仓量涨幅超过50%。

据defillama数据显示，目前Cardano链上锁仓量最多的是Minswap，该DEX锁仓量已达到1.9462亿美元，其次是SundaeSwap，锁仓量约为1.0321亿美元。（beincrypto）[2022/3/30 14:26:32]

4.由于攻击者对GrimBoostVault合约重入了多次，因此GrimBoostVault合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在GrimBoostVault合约中取出了远多于之前抵押的SPIRIT-LP流动性凭证。随后攻击者使用此SPIRIT-LP流动性凭证移除流动性获得WFTM与BTC代币并归还闪电贷完成获利。

声音 | Cardstack创始人：DApp使用步骤繁琐提高了用户参与难度:日前，在加拿大多伦多举办的Blockchain Futurist Conference大会上，Cardstack创始人Chris Tse谈到区块链应用落地现状时表示，由于DApp应用都需要相应的Token，用户使用步骤相较传统应用繁琐数十倍，从而损失了大量用户，日活数百是比较正常的情况。为了解决这一问题，Cardstack采取的方式是通过卡片化、模块化的方式，降低使用门槛。[2018/8/16]

此次攻击是由于GrimBoostVault合约的depositFor函数未对用户传入的token的合法性进行检查且无防重入锁，导致恶意用户可以传入恶意代币地址对depositFor进行重入获得远多于预期的抵押凭证。

慢雾安全团队建议：对于用户传入的参数应检查其是否符合预期，对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。

参考攻击交易：https://ftmscan.com/tx/0x19315e5b150d0a83e797203bb9c957ec1fa8a6f404f4f761d970cb29a74a5dd6

标签：RIMGRIGRIMPOSIrim币最新消息GRID价格Grimcoinposi币是哪国的项目

比特币价格今日行情热门资讯