Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣

據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。

動態 | Grin匿名創始人Ignotus Peverell因個人原因將暫別項目:古靈幣Grin核心開發者Yeastplume在官方論壇發布公告，稱該項目匿名創始人Ignotus Peverell最近向 Grin委員會提出，因個人原因會暫時離開該項目，目前 Grin 委員會不了解Ignotus Peverell個人情況的具體細節，也不了解他何時回歸，預計Ignotus Peverell會暫別項目幾個月，也可能會更久。Yeastplume還表示，古靈幣Grin項目是一個開源項目，不依賴任何個人或團體，盡管Ignotus Peverell暫時離開，該項目開發工作會繼續進行。過去幾周中，Ignotus Peverell參與Grin項目的活躍度降低，已經缺席多次Grin開發會議。[2019/6/24]

聲音 | 分析師Anthony Grisanti：預計比特幣將出現回調:GRZ能源公司分析師Anthony Grisanti表示，比特幣在相當長一段時間內未能保持在8000美元以上并不是最好的跡象。他預計將出現回調，預期6870美元至6425美元之間存在“有趣”的缺口，這大約在幾個關鍵技術水平（21日均線）的水平。如果我們開始在這個市場獲利，它將填補這個缺口，但這對未來的市場來說實際上是非常健康的。這是參考本周的CME交易時段之一，，在此期間，由于資產的波動性出現了巨大的缺口。就在一天前，Grisanti的一位前客戶還暗示比特幣處于領先地位，并指出如果他要交易該資產，他將做空比特幣，并希望在7000美元的低點獲利。[2019/5/16]

Grid +使用雷電網絡加速能源行業的區塊鏈應用:為了加強實時處理電力支付的能力，Grid +將使用Raiden的技術來加速能源行業區塊鏈的應用。Grid將使用uRaiden來降低Grid +用戶交易的費用。[2017/12/19]