區塊鏈:Grim Finance閃電貸安全事件分析

0x01：前言

援引官方消息，北京時間12月19日，Fantom鏈上復合收益平臺GrimFinance遭遇了閃電貸攻擊。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。0x02：事件詳情

交易細節如下圖所示：

瀏覽上圖的交易過程可知，攻擊合約利用閃電貸借取代幣，將借取的代幣質押到SpiritSwap里增加流動性獲取lp代幣，而問題就出現在depositFor()函數中。通過Tenderly（https://dashboard.tenderly.co/tx/fantom/0x19315e5b150d0a83e797203bb9c957ec1fa8a6f404f4f761d970cb29a74a5dd6/debugger調試該筆交易，攻擊者多次遞歸調用depositFor函數，利用該函數獲取大量代幣：

Grin核心開發者提出“解散核心團隊和治理結構的治理方案”:匿名幣古靈幣Grin核心開發者DanielLehnberg本月初發表了一份關于“解散核心團隊和治理結構的治理方案”，DanielLehnberg表示，目前管理基金會的設計中存在核心團隊成員擁有無限期停留的權利、只有核心成員可以添加新的核心成員或刪除現有成員、沒有制衡等缺陷，因此需要提出一個更好的治理結構來代替現有方案。DanielLehnberg提出了幾個可行性建議，包括將資金返還給匿名捐贈者、資金銷毀、核心團隊成員拆分、建立臨時核心團隊、開放申請程序等多方面建議。截至目前，已收集到121條相關回復，DanielLehnberg表示，如果出現了一個令人相信并會改善現狀的提案將會以書面建議或RFC草案的形式提出，并會對其進行游說。[2020/9/16]

金色沙龍 | Xiaojay：Grin可以看作“在區塊鏈上實現點對點電子現金”這一需求的最新解決方案:在今日舉行的《隱私計算——區塊鏈信息安全守護者》為主題的金色沙龍中，獨?立開發者Xiaojay表示，如果從問題的角度來分類，那么基于Mimblewimbled協議的Grin可以看作加密朋克世界對“在區塊鏈上實現點對點電子現金”這一需求的最新解決方案。為什么這么說？如果我們把BTC作為解決“在區塊鏈上實現點對點電子現金”這個需求的第一次嘗試的話，那么Grin除了很好地繼承了BTC 安全/公平/去中心化/ 等優點之外，還增加了：1.匿名性(不用在區塊鏈上記錄用戶的轉賬記錄/金額)。2. 輕量性(通過核銷/合并，使得區塊大小大幅度減少)。3.通過線性發行(1秒1grin)機制，實現了對后來者的加入的公平友好性（最近的幣價也證明了這點）以及對礦工的始終激勵。[2020/4/15]

0x03：漏洞分析

動態 | 以太坊開發者Virgil Griffith在聽證會結束后獲釋并等待判決:以太坊開發者Virgil Griffith被捕一案周一進行了初審，以確定司法部是否有足夠的證據定罪。周一下午的聽證會結束后，Virgil Griffith代理律師Brian Klein在一份聲明中表示，Virgil Griffith已經獲釋。他補充稱：“我們對刑事訴訟中未經證實的指控提出質疑。Virgil期待著他在法庭上的那一天，那時完整的故事就會水落石出。”（Coindesk）[2019/12/3]

depositFor()函數位于https://ftmscan.com/address/0x660184ce8af80e0b1e5a1172a16168b15f4136bf#code的第1115行：

動態 | Lehnberg向Grin委員會發起資金申請請求:Grin委員會成員Lehnberg向團隊提出的資金申請提案，稱其之前申請的資助將于10月12日過期。現在想提出延長申請，以便能繼續開展在Grin中的工作，就像過去6個月一樣。申請包括：1.將比例提升到Yeastunit的1/4，也就是2500美元/月。2.時間從6個月減少至3個月。增加檢查的頻率，以便評估是否需要繼續檢查。注：在10月8日的治理會議中，Grin委員會一致通過了lehnberg這一提案。[2019/10/10]

該函數的safeTransferFrom()方法從IERC20(token)調用，最后一次調用，也就是逆序第一次執行后，余額balance也會隨之變動。當前鑄造憑證數量/前一筆鑄造憑證數量固定為3.54:

現場 | 幣信COO熊越：Grin是可以在區塊鏈發展史上留下印記的項目:金色財經1月19日現場訊，“China First Grincon北京站”活動在1月19日下午舉行。這場活動由Grin團隊、幣信、Primitive、區塊律動共同舉辦。Grin團隊開發者Gary出席了這場活動。幣信COO熊越在活動上指出，Grin這個項目有利有弊，說它是下一個比特幣，會暴漲是不負責任的。它的好處不止是提高了匿名性，Grin區塊大小很小，在數據上有亮點。Grin算是可以在區塊鏈發展史上留下印記的項目。Grin沒有ICO，沒有預挖，是一個非常理想主義的團隊。理想主義是好處，也有壞處。在兩個方面有問題，1.貨幣發行與比特幣不同，發幣數量沒有限制，初期通脹過于嚴重，幣價很有可能高開低走。2.Grin對ASIC的設計，并不會太影響貨幣分配的比例。[2019/1/19]

我們推導其公式為：

將該公式分子拆分，得到shares/totalSupply的固定比為2.54：

最后將Debug交易里的shares/totalSupply進行計算，其值與shares/totalSupply的固定比相同，因此可以確定套利值只與totalSupply()有關：

其中函數safeTransferFrom()傳入的變量token可控，導致攻擊者可以自己實現safeTransferFrom()方法，將該方法重入到depositFor()，拉升totalSupply()總量，最后通過_mint()方法向用戶添加質押憑證實現套利。以實施了5次重入攻擊為例，開始pool的值為0，在重入depositFor方法的前四次里，攻擊者一直傳入自己鑄造的代幣，pool的值會一直保持為0，但在第五次，也就是最后一次傳入100個受認可的代幣時，after的值會變成100，而afer-pool的差值amount也就是100，最后由于重入了5次，導致合約會向攻擊者鑄造100*5的質押憑證代幣。

其后果就是攻擊者只質押一次代幣，仍能多次增加質押總量實現套利。0x04：修復方案

1.由于depositFor()方法里的token可控才是導致這次攻擊事件的原因，因此只需要在傳遞參數的時候讓token不可控就行：

2.由于套利的原因是depositFor()方法里存在修改代幣數量的函數，因此還可以將修改代幣的方法單獨實現，這樣即使token變量可控，也無法成功套利：

3.鎖定交易token：

0x05：總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次攻擊事件的源頭并非網傳的閃電貸攻擊，攻擊者利用GrimBoostVault合約的depositFor方法參數可控，實施了重入攻擊，將自己的鑄造的無價值代幣兌換成了質押憑證，最后通過withdrawAll方法實現套利，而閃電貸？攻擊者只是利用閃電貸擴大了套利值。對于合約代碼而言安全性是十分重要的，每一個未經驗證的傳入參數都可能導致巨大的經濟損失，開發者在編寫重要操作方法時，須記住零信任原則，謹慎對待每一個傳入參數。

Tags：GRIGRINRIN區塊鏈GrinbitFRIN幣區塊鏈技術的應用

抹茶交易所