Grim Finance 被黑:攻擊者的地址持有超過3000 萬美元


在Google 新聞上關注我們

關鍵要點: 今天早上,Grim Finance 平台被外部攻擊者利用。攻擊者的地址已被確定為超過3000 萬美元。攻擊者使用來自Grim Finance 保險庫策略的名為beforeDeposit() 的函數進行攻擊,進入惡意代幣合約。 Grim Finance 已暫停所有金庫,以防止任何未來的資金面臨風險。他們建議人們立即提取所有資金。

Grim Finance 被黑Grim Finance 被黑

今天早上,Grim Finance 平台被外部攻擊者利用。攻擊者的地址已被確定為價值超過3000 萬美元的盜竊案。

這次攻擊是高級攻擊。攻擊者使用來自Grim Finance 保險庫策略的名為beforeDeposit() 的函數進行攻擊,進入惡意代幣合約。惡意代幣合約可以從safeTransferFrom() 開始5 個租用循環,其中所有5 個租用循環,礦池值設置為當前balance()。

在最後一個safeTransferFrom() 上,重入循環被打破,一些需求可以轉移到策略中,這將增加將金庫置於鑄造股票狀態的數量。在5 個rentrancies 的unwinding 上,每個循環都會看到_amount 不為0,並且鑄幣對應的份額,鑄幣相同份額計數5x(租金循環的數量)。

Grim Finance 已暫停所有金庫,以防止任何未來的資金面臨風險。他們建議人們立即提取所有資金。該漏洞是在金庫合約中發現的,因此所有金庫和存入的資金目前都處於風險之中。 Grim Finance 已就攻擊者地址聯繫並通知Circle(USDC)、DAI 和AnySwap,以可能凍結任何進一步的資金轉移。

你好嚴峻的社區,

我們懷著沉重的心情通知你,我們的平台今天在大約6 小時前被外部攻擊者利用。攻擊者地址已被確定為價值超過3000 萬美元的盜竊在這裡https://t.co/qA3iBTSeb

– Grim Finance (@financegrim) 2021 年12 月19 日

在這個困難時期,鏈上的許多項目都得到了Grim Finance 的支持,包括Beefy、Tomb、SpiritSwap 和FTM Alerts。此外,他們還極大地幫助了社區向社區提供了有關情況的最新信息。

立即提取所有資金的步驟是:

獲取XXX 和YYY 代幣的Flashloan(例如WBTC-FTM) 在SpiritSwap 上增加流動性薄荷精神-LPs 使用token==ATTACKER, user==ATTACKER 在GrimBoostVault 中調用depositFor() 利用token.safeTransferFrom 進行重入轉到(4) 在使用token==SPIRIT-LP, user==ATTACKER 重入調用depositFor() 的最後一步在每個重入級別中,鑄造的GB-XXX-YYY 代幣數量都會增加攻擊者最終持有大量GB-XXX-YYY 代幣提取GB 代幣並獲得更多的SPIRIT-LP 代幣移除流動性並獲得更多XXX 和YYY 代幣償還閃貸

另外,閱讀

默認圖片

查哈特·吉爾達爾

我是Chaahat Girdhar,一名職業記者,她將夢想變為願景,將願景變為現實。我很好奇,並且渴望獲得新知識。所以我期待以更好的方式學習東西。

ChargeDeFi 被黑

上一篇文章ChargeDeFi 被黑:攻擊者獲得了大約50 萬美元

通訊

獲得最佳加密貨幣交易

資訊來源:由0x資訊編譯自COINCODECAP。版權歸作者Chaahat Girdhar所有,未經許可,不得轉載

Total
0
Shares
Related Posts