在Google 新聞上關注我們
關鍵要點: 今天早上,Grim Finance 平台被外部攻擊者利用。攻擊者的地址已被確定為超過3000 萬美元。攻擊者使用來自Grim Finance 保險庫策略的名為beforeDeposit() 的函數進行攻擊,進入惡意代幣合約。 Grim Finance 已暫停所有金庫,以防止任何未來的資金面臨風險。他們建議人們立即提取所有資金。
Grim Finance 被黑
今天早上,Grim Finance 平台被外部攻擊者利用。攻擊者的地址已被確定為價值超過3000 萬美元的盜竊案。
這次攻擊是高級攻擊。攻擊者使用來自Grim Finance 保險庫策略的名為beforeDeposit() 的函數進行攻擊,進入惡意代幣合約。惡意代幣合約可以從safeTransferFrom() 開始5 個租用循環,其中所有5 個租用循環,礦池值設置為當前balance()。
在最後一個safeTransferFrom() 上,重入循環被打破,一些需求可以轉移到策略中,這將增加將金庫置於鑄造股票狀態的數量。在5 個rentrancies 的unwinding 上,每個循環都會看到_amount 不為0,並且鑄幣對應的份額,鑄幣相同份額計數5x(租金循環的數量)。
Grim Finance 已暫停所有金庫,以防止任何未來的資金面臨風險。他們建議人們立即提取所有資金。該漏洞是在金庫合約中發現的,因此所有金庫和存入的資金目前都處於風險之中。 Grim Finance 已就攻擊者地址聯繫並通知Circle(USDC)、DAI 和AnySwap,以可能凍結任何進一步的資金轉移。
你好嚴峻的社區,
我們懷著沉重的心情通知你,我們的平台今天在大約6 小時前被外部攻擊者利用。攻擊者地址已被確定為價值超過3000 萬美元的盜竊在這裡https://t.co/qA3iBTSeb
– Grim Finance (@financegrim) 2021 年12 月19 日
在這個困難時期,鏈上的許多項目都得到了Grim Finance 的支持,包括Beefy、Tomb、SpiritSwap 和FTM Alerts。此外,他們還極大地幫助了社區向社區提供了有關情況的最新信息。
立即提取所有資金的步驟是:
獲取XXX 和YYY 代幣的Flashloan(例如WBTC-FTM) 在SpiritSwap 上增加流動性薄荷精神-LPs 使用token==ATTACKER, user==ATTACKER 在GrimBoostVault 中調用depositFor() 利用token.safeTransferFrom 進行重入轉到(4) 在使用token==SPIRIT-LP, user==ATTACKER 重入調用depositFor() 的最後一步在每個重入級別中,鑄造的GB-XXX-YYY 代幣數量都會增加攻擊者最終持有大量GB-XXX-YYY 代幣提取GB 代幣並獲得更多的SPIRIT-LP 代幣移除流動性並獲得更多XXX 和YYY 代幣償還閃貸
另外,閱讀
查哈特·吉爾達爾
我是Chaahat Girdhar,一名職業記者,她將夢想變為願景,將願景變為現實。我很好奇,並且渴望獲得新知識。所以我期待以更好的方式學習東西。
上一篇文章ChargeDeFi 被黑:攻擊者獲得了大約50 萬美元
通訊
獲得最佳加密貨幣交易
資訊來源:由0x資訊編譯自COINCODECAP。版權歸作者Chaahat Girdhar所有,未經許可,不得轉載