NFT借贷平台@XCarnival_Lab大约7个小时之前被黑了,至少有3000个$ETH被盗。下面是该事件的简要分析:
该NFT借贷平台的合约有个bug:作为抵押品的NFT在取出后,其orderID仍然可用,可以此申请贷款。
有三个相关合约:xETH,钱在这里main.https://etherscan.io/address/0xb38707e31c813f832ef71c70731ed80b45b85b2d……?
?xNFT,NFT管理器.https://etherscan.io/address/0xb14b3b9682990ccc16f52eb04146c3ceab01169……?
NFT市场Joepegs完成500万美元种子轮融资:11月15日消息,NFT市场Joepegs宣布完成500万美元种子轮融资,由已解散的FTX Ventures和Avalanche基金会领投。Joepegs团队解释称,FTX Ventures的资金在今年6月就已经到账,在FTX破产重组之前。
据悉,Joepegs NFT市场于5月推出,已迅速发展成为Avalanche生态最大的NFT市场,二级NFT销售额超过340万美元,拥有超12,000名用户。Joepegs包括一个NFT launchpad LaunchPEG,支持荷兰式拍卖、加价拍卖、固定价格出售和白名单出售方式。Joepegs具有无需许可、上架价格存至链下以及过滤功能、稀有度展示等特性。(TechCrunch)[2022/11/15 13:05:10]
?P2Controller,很多借贷限制条件的验证者.
NFT项目Slick City将发布其第一套基于实用程序的NFT:金色财经报道,以太坊区块链上的NFT项目Slick City将发布其第一套基于实用程序的NFT,该NFT包含4444个独特的、下一个一代、高级时尚、半人类/半外星人的收藏品。[2022/7/19 2:24:01]
黑客https://etherscan.io/address/0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a…从Tornado中拿出了干坏事的启动资金.然后在OpenSea上购买了#BAYC5110。
他部署了一个总控合约0xf706…ca8dhttps://etherscan.io/address/0xf70f691d30ce23786cfb3a1522cfd76d159aca8d……,该合约生成了很多用来当女巫用同一个NFT进行借贷的马仔合约,比如0x5338…3714https://etherscan.io/address/0x53386a82e55202a74c6d83c7eede7a80ba553714…….
玩具反斗城发布首个NFT系列:金色财经报道,玩具反斗城(Toys“R”Us)的母公司WHP Global与NFT平台Ethernity合作,发布了其首个NFT系列。以玩具反斗城的吉祥物Geoffrey the Giraffe为特色的独家限量版数字收藏品将于11月发布,粉丝们可从11月13日开始在NFT市场OpenSea购买。[2021/11/12 6:47:19]
首先,总控将BAYC转给某个马仔。马仔然后调用xNFT中的pledgeAndBorrow()函数,抵押品为BAYC,但什么也没贷。本步骤生成了一个orderID(43)。
本Tx中可以看到这些过程,不过只有internaltransaction。如果想详细解读得自己深挖调用栈。马仔5338然后取出刚才抵押的NFT,并还给总控。总控再把NFT给别的马仔。如此左手倒右手循环,黑客搞出了几十个orderID,之后可作为借款凭证。而有bug的xNFT并没有在取出抵押物后撤销凭证orderID。
《时代周刊》制作团队Time Studios将推出\"Robotos\"NFT儿童版:11月26日消息,《时代周刊》制作团队 Time Studios 正在开发由 Pablo Stanley 设计的“Robotos\"NFT 的儿童版本。据悉,\"Robotos\"系列 NFT 具有 170 个不同的特征属性,目前共有 1 万枚。[2021/11/26 12:34:23]
下一步,总控让所有马仔依次从xETH合约里借钱。攻击完成。黑客用空气借走了真金白银。这是其中一个tx。
上面的是大概过程。再来看下细节。在xNFT合约中,withdrawNFT()并咩有在取出后消除orderID。当P2controller调用getOrderDetail()时还是能取到这个ID。
在xETH中,borrow()会调用borrowInternal()然后调用controller.borrowAllowed()来验证orderID是否有效。
这个是P2controller的borrowAllowed()函数。首先会问xNFT.getOrderDetail(),这个肯定过。还有其他各种限制,但没有一个好使,我在代码评论中有分析。注:黑客之所以要多个马仔合约是因为这里最下面有一个对单个orderID的借贷数量的限制。
总结:抵押物在取出后还有效,这是一个非常简单粗暴肤浅的合约bug。下面这张图是这些错综复杂的内部调用的清晰的调用栈。想不借助工具裸眼分析如果看麻了可以参考下图。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。