前言
北京时间2022年3月22日,知道创宇区块链安全实验室?监测到Fantom生态稳定币收益优化器OneRingFinance遭到闪电贷攻击,黑客窃取逾145万美元。
分析
攻击事件如下图所示,该次攻击事件的问题点在于OneRingFinance直接使用交易对中的reserves来实时进行OShare的价格计算,攻击者通过Swap操作提高reserves的量,最终拉升OShare的价格,获取更多的资金。
基础信息
攻击合约:0x6A6d593ED7458B8213fa71F1adc4A9E5fD0B5A58
攻击者地址:0x12EfeD3512EA7b76F79BcdE4a387216C7bcE905e
攻击tx:0xca8dd33850e29cf138c8382e17a19e77d7331b57c7a8451648788bbb26a70145
V神将为动画“Stoner Cats”中的一只猫配音:7月25日消息,由女演员米拉·库尼斯(Mila Kunis)制作的动画网络系列剧“Stoner Cats”已经拥有包括简·方达、克里斯·洛克和阿什顿·库彻在内的好莱坞一线演员加盟。以太坊创始人Vitalik Buterin也将加入了“Stoner Cats”的演员阵容为一只名叫Catsington的猫配音。据风险投资公司NFX的普通合伙人兼“Stoner Cats”背后的团队成员Morgan Beller称,决定使用NFT为该系列提供资金是出于对节目内容审查的担忧以及保持创意的愿望控制权脱离网络之手。
此前消息,V神将参演以太坊纪录片《以太坊:无限花园》。(coindesk)[2021/7/26 1:15:20]
漏洞合约:0xc06826f52f29b34c5d8b2c61abf844cebcf78abf
流程
动态 | POST 联合首发BigONE, 开盘最高涨幅1471%:据官方消息,IPSE分布式搜索引擎的生态通证POST,于今日中午12点正式联合首发上线BigONE交易平台,开启交易。开盘价0.014USDT,最高涨至0.22 USDT,最高涨幅超过1471%,截止13点,价格涨幅稳定314%
IPSE 是基于IPFS网络的搜索网络引擎,作为新一代流量入口将极大地赋能区块链,为分布式经济时代创造巨大价值。经过全球资深顶级架构团队、解决方案团队的缜密设计与历时两年的深度开发,IPSE分布式搜索引擎已经从理念走向落地。[2020/2/15]
攻击者的核心攻击流程如下:
攻击者从USDC/MIM交易对中闪电贷借出8000W的USDC到攻击合约中。
2.攻击者使用swap把1USDC兑换成1.001miMATIC。
3.使用depositSafe存入79999997的USDC。
动态 | 日本央行前副行长加入日本MONEY PARTNERS集团旗下加密公司:2月3日消息,日本央行前副行长西村清彦已加入日本MONEY PARTNERS集团旗下加密货币交易公司Coinage,担任特别顾问。此前2019年6月消息,MONEY PARTNERS集团宣布全资收购正在向日本金融厅申请加密货币交易所牌照的Coinage公司。(Crypto Watch )[2020/2/3]
4.合约mint给攻击者41965509OShare,此时攻击者还有2USDC和1.001miMATIC。
5.攻击者将2USDC和0.326miMATIC添加流动性,获得7.82x10-7spLP。
6.将41965509的OSharewithdraw兑换成81534750的USDC。
7.移除流动性获取0.790USDC和0.862miMATIC。
动态 | Block.one 宣布启动资助计划:据IMEOS报道,Block.one发文宣布启动EOS VC资助计划(EOS VC Grants Program),资助活跃的EOSIO社区成员及新的项目。该计划与我们正在进行的投资计划不同。我们希望扩大我们的视野,并通过赋予具有巨大潜力的企业跨越终点线的能力来扩展EOSIO生态系统。我们认为,这是加速有意义的区块链项目的一种方式,这将对社区产生持久影响。[2019/12/17]
8.把1.501miMATIC兑换成1.433USDC。
9.归还8000WUSDC和80080USDC的手续费,最净获得?1534750-80080=1454670?USDC
细节
攻击者在攻击之前通过CelerNetwork的cBridge跨链获得了发起攻击所需的gas。
通过流程第二步我们可以看出当时USDC和miMATIC的兑换率为约1:1.001,而通过流程第三步和第四步的?swap?后可以在第五步中看到USDC和miMATIC的兑换率变成了约1:0.163,所以我们需要重点分析?deposit?函数和?withdraw?中计算价格的问题。
动态 | Block.one 新版本限制预定交易的处理时间:据引力观察报道,Block.one 发布 EOSIO 1.4.6版本,1.5.4版本,1.6.0版本。这些版本更新了限制预定交易的处理时间,对EOS主网遇到的拒绝服务漏洞更新补丁。BB在电报群表示:我们的团队加班加点地工作,以满足需求,以及围绕未来计划的研发和实施,比如EOSIO从一开始就为跨链通信而设计。[2019/1/18]
分析交易的Debugger,可以看到调用的是?depositSafe?函数。
查看?depositSafe?函数,其内部会调用?_deposit?函数,继续跟进,发现在?_deposit?函数中又调用了?_doHardWorkAll?函数,最后?mint?OShare给攻击者。
而在?_doHardWorkAll?函数中使用了for循环将部分存入的USDC全部兑换成其他的代币。
执行此次?depositSafe?函数时?getSharePrice?计算的OShare价格为?1062758591235248117。
接下来我们看下?getSharePrice?函数的代码,在?getSharePrice?函数中调用了?balanceWithInvested?函数,而在?balanceWithInvested?函数中又调用了?investedBalanceInUSD?函数。
继续跟进,investedBalanceInUSD?函数是在合约?MasterChefBaseStrategy?中,其合约地址为:https://ftmscan.com/address/0xdbc07e219ba0cb5fddcd0fa0c5cc1eddfb77e082#code
investedBalanceInUSD?函数返回的是?getUSDBalanceFromUnderlyingBalance?函数,在?getUSDBalanceFromUnderlyingBalance?函数中可以发现合约使用两个代币的数量进行计算,而前面攻击者由于闪电贷存入了大量的USDC,从而使得最终的?_amount?的值也变大了。再次回到?getSharePrice?函数中就可以发现,_sharePrice?也会相应变大。
流程第六步使用了?withdraw?函数。
在?withdraw?函数中我们发现同样调用了?getSharePrice?计算OShare价格,在该阶段为?1136563707735425848,OShare的价格的确变大了,而最终的取款数量是通过内部调用?_withdraw?函数计算得到的。
_withdraw?函数中最终取款的值为?_realWithdraw,而?_realWithdraw=_toWithdraw.mul(uint256(10)**uint256(ERC20(_underlying).decimals())).div(uint256(10)**uint256(decimals()));,所以我们再看到?_toWithdraw,发现其值同样是由?balanceWithInvested?计算得到的,所以这就会导致最终将OShare兑换成USDC变多。
总结一下:
USDC↑->_amount↑->getUSDBalanceFromUnderlyingBalance(_underlyingBal)↑->investedBalanceInUSD()↑->balanceWithInvested()↑->_sharePrice↑
USDC↑->_amount↑->getUSDBalanceFromUnderlyingBalance(_underlyingBal)↑->investedBalanceInUSD()↑->balanceWithInvested()↑->_toWithdraw()↑->_realWithdraw()↑
后续处理
针对此次攻击,OneRingFinance团队采取了四种补救措施,包括暂停保险库,分析、调试、修复漏洞,通过财政库还款,以及提供漏洞赏金。
保险库状态:保险库已暂停,OneRingFinance团队正在努力重新设置。
分析、调试、修复:OneRingFinance团队已工作了很多小时,来修复允许黑客执行这次攻击的问题,团队已与许多合格开发者、协议合作,以查漏协议中所有的代码,协议有漏洞是完全出乎意料的,甚至对一些高级开发人员来说也是如此,因为他们以前审查过OneRingFinance的代码。
通过协议财政部还款:该团队正在制定一项计划,为受影响的人提供具体的中长期还款计划。
赏金:团队将提供被盗资金的15%以及100万RING代币,作为黑客返还资金的赏金。
总结
该次攻击事件是由于项目使用实时储备量来计算价格导致攻击者通过闪电贷借出大量USDC并存入使得储备量增大拉升OShare价格造成差值从而获利。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。