2022 年 03 月 16 日,据慢雾区消息,Hundred Finance 存在严重漏洞遭到攻击,黑客获利约 2,363 ETH,慢雾安全团队第一时间介入分析,并将结果分享如下:
相关信息
Hundred Finance 是一个去中心化应用程序(DApp),它支持加密货币的借贷。它是一种多链协议,与 Chainlink 预言机集成,以确保市场健康和稳定,同时专门为长尾资产提供市场。
以下是本次攻击涉及的相关地址:
攻击者地址:
https://blockscout.com/xdai/mainnet/address/0xD041Ad9aaE5Cf96b21c3ffcB303a0Cb80779E358
攻击交易:https://blockscout.com/xdai/mainnet/tx/0x534b84f657883ddc1b66a314e8b392feb35024afdec61dfe8e7c510cfac1a098
OpenSea宣布已支持Base网络:金色财经报道,OpenSea在社交平台表示,现已支持由Coinbase基于OP Stack构建的Layer 2区块链Base。[2023/8/4 16:18:00]
攻击者合约:
https://blockscout.com/xdai/mainnet/address/0xdbf225e3d626ec31f502d435b0f72d82b08e1bdd
https://blockscout.com/xdai/mainnet/address/0xbE8fe2aE087aeCcB1E46EF206368421c9212637B
https://blockscout.com/xdai/mainnet/address/0x09b4f2551e9f39fa021a99463e21d6044656a7b9
https://blockscout.com/xdai/mainnet/address/0xf07ac43678b408ff0c86efff99b8d21af3d38c51
数据:四月以太坊链上NFT交易量的市场份额达到96%:金色财经报道,根据最新披露的四月NFT数据显示,上个月以太坊占据了NFT交易量的最大份额,市场份额高达96%。然而在链上NFT活跃用户方面,以太坊仅占44%,Polygon紧随其后,占比为37%。虽然以太坊仍然是大多数主流NFT项目的首选平台,但其网络拥堵和高额交易费用可能会促使一些用户转向替代平台。在NFT市场方面,四月Blur在交易量方面仍然具有绝对优势。不过从交易笔数来看,OpenSea还是占据上风。Blur的优势地位表明它更适合高价值资产和交易规模较大的专业用户。另一方面,OpenSea的交易更松散,交易规模更小,更适合零售用户和小额日常交易。此外,四月NFT市场投融资交易总计11笔,较三月份的8笔有所增长。(cryptoslate)[2023/5/15 15:03:48]
https://blockscout.com/xdai/mainnet/address/0x9c4e6edbc45b16e4378b53cd3e261727e103f633
去中心化社交协议Nostr账户总量突破500万,过去两周增长超65%:金色财经报道,据Nostr.Band数据显示,去中心化社交协议Nostr账户数已突破500万,本文撰写时达到5,441,105个,其中在主页设置个人简介的账户数接近95万。历史数据显示,Nostr账户总量于2月底超过300万,这意味着过去两周涨幅超过65%。[2023/3/17 13:10:35]
被攻击合约:
https://blockscout.com/xdai/mainnet/address/0x243E33aa7f6787154a8E59d3C27a66db3F8818ee husdc
https://blockscout.com/xdai/mainnet/address/0xe4e43864ea18d5e5211352a4b810383460ab7fcc hwbtc
https://blockscout.com/xdai/mainnet/address/0x8e15a22853a0a60a0fbb0d875055a8e66cff0235 heth
FTX CEO确认遭受黑客攻击并与执法部门合作:金色财经报道,FTX新任首席执行官约翰-雷周六在Twitter上证实,上周五申请破产保护的FTX及其美国子公司FTX US昨晚遭到黑客攻击,该攻击使交易所的钱包中数亿美元的加密货币被抽出。在通过FTX的总法律顾问Ryne Miller在Twitter上发表的声明中,Ray表示FTX US和FTX.com \"继续尽一切努力确保所有资产的安全,无论位于何处\"。(coindesk)[2022/11/13 12:57:17]
https://blockscout.com/xdai/mainnet/address/0x090a00a2de0ea83def700b5e216f87a5d4f394fe hxdai
攻击核心点
在 Hundred Finance 借贷协议的 borrowFresh 函数中,记账是在代币转账之后,但市场中 USDC、wBTC、wETH 使用的是 ERC677 类型 token 合约,它是 ERC20 合约的一个扩展,兼容 ERC20 协议标准。ERC677 在 token 进行转账之后,会回调到目标合约的 onTokenTransfer 方法,这就使攻击者构造的恶意合约能进行重入攻击。
Galaxy Digital创始人:LUNA纹身将不断提醒我风险投资需保持谦逊:5月19日消息,Galaxy Digital 在官方社交媒体发文表示,该加密投资公司创始人兼首席执行官 Mike Novogratz 发表了一封公开信,这也是 Terra/UST 事件经过了 10 天之后,Mike Novogratz 首次打破沉默。此前 Mike Novogratz 非常支持 LUNA 甚至在胳膊上做了纹身,在公开信中,他表示现在这个纹身将不断提醒他加密风险投资需要保持谦逊。Mike Novogratz 还表示,UST 的机制是公开透明的,而且试图创造一种可以在数字世界中运转的算法 Stablecoin,虽然这个想法很不错,但最终失败了,主要原因是储备资产的下行压力加上 UST 挤兑引发崩盘。
不过,Mike Novogratz特别指出,截至 5 月 11 日,Galaxy Digital 公开了流动性、资本和运营业绩,其中显示储备金中没有使用任何算法 Stablecoin。[2022/5/19 3:27:14]
具体细节分析
1. 通过 SushiSwap 闪电贷借出 2,096,607.298 USDC、1,723,293.26 wXDAI、1,650,170.47 wXDAI。
2. 攻击者通过攻击合约向 USDC 借贷合约抵押 1,200,000 枚 USDC,换取 59,999,789.075 枚 hUSDC。
随后通过借贷合约借走 1,200,000 枚 USDC,但是由于借贷合约记账是在转账之后,因此攻击者能在转账的时候同时开始他的攻击。
因为 XDai 链上的 USDC、WBTC、WETH 是有转账后回调步骤,攻击者在转完 USDC 之后再次重入到 WBTC 的借贷合约。同时因为上一步借走 USDC 的数据还未记录,所以攻击者又顺利的借走 16.17030715 枚 WBTC, 此后再次重入到 WETH 的借贷合约,借走 24.715930916595319168 枚 WETH。
3. 接着,攻击者继续往 USDC 借贷合约转入 1,964,607 枚 USDC,拿到 98,230,019.558 枚 hUSDC,然后从池子里面借出 1,748,500.495 枚 USDC,再重入到 xDai 的借贷合约;
随后,攻击者转入大量的 xDai 换出 234,304,737.048 枚 hxDAI,再借出大量的 xDai,再从 USDC 借贷合约借出 4,128,044.631 枚 USDC 之后,攻击者再一次往 USDC 借贷合约转入 1,358,759.278 枚 USDC,又获得 67,937,725.081枚 hUSDC,接着,继续从 USDC 的借贷合约借出 1,209,295.758 枚 USDC。
4. 最后攻击者归还从 SushiSwap 借出来的 xDai 和 USDC,剩余的非法获利转到攻击者账户上。
MistTrack
据慢雾 AML 分析,黑客地址将资金从?XDai 跨链到以太坊后,将代币均兑换为 ETH,且在以太坊上的黑客地址初始资金来源于 Tornado.Cash。
最后将获利的 2,363 ETH 分成 32 次转入 Tornado.Cash,以躲避追踪。
总结
本次攻击事件是由于在借贷合约中的 borrowFresh 函数没有在代币转账前进行记账并且使用的 token 是有回调机制造成的,进而导致攻击者可以在转账之后重入到其他借贷合约。慢雾安全团队建议使用非 ERC20 标准的 token 合约时,要注意兼容性,合约记账应在代币转账之前做好记录,遵循 Checks-Effects-Interactions 规则,避免再次出现此类安全问题。
By:Victory@慢雾安全团队
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。