Grim Finance闪电贷安全事件分析

最新推荐文章于 2024-07-22 10:39:54 发布
最新推荐文章于 2024-07-22 10:39:54 发布
阅读量811 收藏 2
点赞数
文章标签: 区块链 闪电贷
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SierraW/article/details/122080673
版权
GrimFinance遭受闪电贷攻击,攻击者利用depositFor函数的重入漏洞,通过控制token变量增加totalSupply,非法获取大量质押凭证代币。修复方案包括限制token可控性和分离修改代币数量的函数。安全关键在于对传入参数的严格验证。
摘要由CSDN通过智能技术生成

前言

援引官方消息,北京时间12月19日,Fantom链上复合收益平台GrimFinance遭遇了闪电贷攻击。知道创宇区块链安全实验室 对本次事件深入跟踪并进行分析。

事件详情

交易细节如下图所示:

在这里插入图片描述

浏览上图的交易过程可知,攻击合约(0xb08ccb39741d746dd1818641900f182448eb5e41)利用闪电贷借取代币,将借取的代币质押到SpiritSwap里增加流动性获取lp代币,而问题就出现在depositFor()函数中。

通过Tenderly(https://dashboard.tenderly.co/tx/fantom/0x19315e5b150d0a83e797203bb9c957ec1fa8a6f404f4f761d970cb29a74a5dd6/debugger 调试该笔交易,攻击者多次递归调用depositFor函数,利用该函数获取大量代币:

在这里插入图片描述

漏洞分析

depositFor() 函数位于https://ftmscan.com/address/0x660184ce8af80e0b1e5a1172a16168b15f4136bf#code 的第1115行:

function depositFor(address token, uint _amount,address user ) public {
   
 uint256 _pool = balance();
 IERC20(token).safeTransferFrom(msg.sender, address(this), _amount
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
4、6word
weixin_38170829的博客
05-06 9768
英语四级+六级词汇大全(全部带“音标”) 第一部分:四级词汇大全 A abandon/ ə’bændən/ vt.丢弃;放弃,抛弃   aboard/ ə’bɔ:d/ ad.在船(车)上;上船   absolute/ ‘æbsəlu:t/ a.绝对的;纯粹的   absolutely/ ‘æbsəlu:tli/ ad.完全地;绝对地   absorb...
Footprint Analytics 月报:Binance 和 Terra 谁能稳坐公链第二的宝座?
m0_60517769的博客
01-11 1461
加密市场发展放缓,公链竞争激烈,Terra 欲与 Binance 一较高下。
Footprint周报:Terra 持续上涨,或成2021最大赢家?
m0_60517769的博客
12-27 878
Meta将社交系统与区块链、加密货币等Web 3.0技术结合
用C语言写一个查单词的小demo
m0_47068593的博客
07-03 4万+
用C语言写一个查单词的小demo #include <stdio.h> #include <string.h> #include <stdlib.h> int main(int argc, const char *argv[]) { // 用只读的方式打开我们的单词库 FILE *fp = fopen("dict.txt","r"); if (NULL == fp){ perror("fopen"); return -1
网络编程_8(项目附件)
weixin_38717634的博客
01-13 3万+
dict.txt abandonment n.放弃 abbreviation n.缩写 abeyance n.缓办,中止 abide v.遵守 ability n.能力 able adj.有能力的,能干的 abnormal adj.反常的,变态的 aboard adv.船(车)上 abolish v.废除,取消 abolition n.废除,取消 abortion n.流产 abortive adj.无效果的,失败的 about prep.关于,大约 ab
bilibili【考研英语词汇】
热门推荐
echoecho的博客
02-27 51万+
1、abandon vt.离弃,遗弃,抛弃;放弃。 放纵,放弃 a-否定(前缀)band-布带on 布带不在自己身上,放纵,放弃 band n.条,带;乐队;波段;v.绑扎 一群人绑在一起:乐队,一群 bandagen绷带v用绷带扎缚 -age永恒的(后缀) band- ~ban-(前缀) banner横幅,旗帜(商店的旗帜) 在小带子上写的字:slogan...
字典查询(部分)
myth_HG的专栏
05-28 14万+
#include #include #include using namespace std; const int enMax=46; const int chMax=256; const int attrMax = 66; const int spaceMax = 100; const int inputMax = 30; char atrrSum[13][attrMax]= {"n.","
简单英译汉SQL脚本
shencomd的专栏
10-19 19万+
create table t_dictionary(word varchar(200), trans varchar(1000)); insert into t_dictionary values('abandon','v.抛弃,放弃'); insert into t_dictionary values('abandonment','n.放弃'); insert into t_dictionary
Fortnite Grim Fable HD Wallpapers-crx插件
04-06
适用于所有粉丝的个性化选项卡主题和Fortnite Grim Fable Skin的高清壁纸。 Fortnite Grim Fable高清壁纸-由Supertabthemes创建此扩展程序是为Fortnite Grim Fable的所有粉丝创建的。 通过下载,您将收到与该游戏...
Grim-开源
05-09
Grim-开源】是一个备受关注的开源项目,它的出现为开发者提供了一个强大的工具,用于探索、理解和操作图像数据。开源软件是信息技术领域中的一个重要概念,它鼓励代码共享和协作开发,使得全球各地的程序员可以...
GDParser:一个简单的控制台应用程序,用于解析Grim Dawn保存文件并提取字符stats信息。 使用marius00的《残酷黎明物品助手》中的代码
04-11
GDParser 一个简单的C#控制台应用程序,用于解析Grim Dawn保存文件并提取字符统计信息/信息。 使用marius00的《残酷黎明物品助手》中的代码。 我希望添加函数以呈现显示特性信息HTML表或输出XML文件。用法GDParser....
Grim Symbols-crx插件
04-06
在使用Grim Symbols时,用户应该了解并关注插件的权限请求,确保自己的隐私和数据安全。同时,保持扩展程序的更新是必要的,因为开发者会通过更新修复潜在的漏洞,提高性能,或者添加新的特性。用户可以在Chrome网上...
grim-bot:irc bot for ##grim on freenode
07-05
经常机器人这是 IRC 机器人oftn-bot(在freenode 上的#oftn 中)和ecmabot(在freenode 上的##javascript 中)的存储库。 这最初是作为 v8bot ( ) 的替代品创建的。 随着时间的推移,它变成了一个功能齐全的 IRC ...
区块链的基石:工作量证明机制,如何驱动数字货币革命?
JavaEdge全是干货的技术号
07-21 895
POS会面临发token的问题,起初只有创世块上有token,意味着只有这个节点可以挖矿,所以让token分散出去才能让网络壮大,所以早期采取的是POW+POS,即第一阶段POW挖矿,第二阶段POS挖矿,后来ERC20合约token出现后,可以只存在POS的挖矿形式。相对于比特币等PoW类型的token,更加去中心化,相比PoW算法的51%算力攻击,PoS需要购买51%的token,成本更高,没有攻击意义。第一代共识机制,比特币的基础,即“按劳取酬”,你付出多少工作量,就获得多少报酬。
深耕区域市场,ATFX以投教引领市场新风向
pycxiaoy的博客
07-19 620
自创立以来,ATFX遵循“以客户为中心”的服务理念,针对不同区域市场、用户群体和多元化需求,坚持以市场用户需求为突破点,不断开发满足市场及用户实际需求的产品和服务,并提供优质有针对性、个性化、本土化和定制化的投教产品、服务及解决方案,以专业回馈市场,由此品牌取得了业界瞩目的市场成绩和不俗市场口碑,而这正是ATFX品牌充满勃勃生机、不断取得优良成绩的基础。本着“先知而后行”的服务理念,ATFX积极在全球范围内精心布局,成功在亚洲、中东、欧洲、南美以及更多新兴市场举办一系列内容丰富的投教服务活动。
区块链革命:探索Web3如何重塑数字世界
dd8989089的博客
07-19 1192
Web3作为区块链技术的重要应用范式,以其去中心化、安全和可编程性质,正在深刻地改变着我们的数字世界。通过本文的介绍,希望读者能够深入理解Web3技术在重塑数字世界中的作用和潜力,为未来的技术创新和社会进步贡献智慧和力量。
Covalent(CXT)运营商网络规模扩大 42%,以满足激增的需求
最新发布
区块链蓝海
07-22 1007
Covalent Network(CXT)是领先的模块化数据基础设施层,致力于解决区块链和 AI 领域的主要挑战,包括可验证性、去中心化 AI 推理和长期数据可用性。随着 Covalent Network(CXT)网络的委托空间迅速达到 100% 的容量,且 CXT 代币 22% 的供应量被质押, Covalent Network(CXT)认识到社区对其验证基础设施的坚定承诺,并为进一步提升和去中心化网络而致力于加强其运营,增加新的运营商将是确保持续质量、可靠性和效率的关键步骤。
使用GPU强化内核完整性监测:GRIM技术解析
GRIM可能的工作流程包括使用GPU来快速分析内核内存中的模式,识别潜在的rootkit活动。通过这种方式,即使rootkit尝试自我隐藏,GRIM也能在不影响系统整体性能的同时,提高检测的可能性。此外,利用GPU还可以降低对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值