事件概述
6月29日凌晨2点03分,攻击者利用从dYdX闪电贷中借到的WETH,大量买进STA代币,使得STA与其他代币的兑换价格急剧上升。然后使用最小量的STA(数值为1e-18)不断回购WETH,并在每次回购后,利用Balancer的合约漏洞重置其内部STA的数量(数值为1e-18),以此稳住STA的高价位。攻击者不断利用漏洞,用高价的STA将某一种代币完全买空(WETH,WBTC,LINK和SNX),最终用WETH偿还闪电贷,并剩余大量STA,WETH,WBTC,LINK和SNX,并通过uniswap将非法所得转移到自己账户中。此次攻击约获利90万人民币。
CertiK分析的此次事件攻击者心理画像:
攻击者在调取STA余额后,快速调用swapExactAmountIn函数购买STA,并在第24次交易使用了另一个函数swapExactAmountOut精准的将STA的数目买到了最小值(1e-18),从而最大化后续攻击的效率。最开始的6笔交易,在没有必要的情况下,3次买入后卖出,损失了4个WETH,故布疑云。并且能够做到隐匿自己的闪电贷阶段痕迹来看,有黑客特性。
CertiK判断攻击者是有经验的黑客团队在充分准备后的一次攻击尝试,有很大可能还会继续攻击其他DeFi合约。
攻击重现
阶段0:攻击者从dYdX闪电贷处借款,获得初始WETH资金。 阶段1:攻击者使用WETH将Balancer中的STA尽可能买空,最大程度提高STA价格。 阶段2:攻击者用获得的STA多次买回WETH。每一次都用最小量的STA(数值为1e-18)进行购买,并利用Balancer内部漏洞函数gulp,锁定STA的数目,控制STA对WETH的价格。重复多次该种买回操作,直到将Balancer中的WETH取空。 阶段3:换一种代币,用STA重复阶段2直到取空该种代币。阶段三重复了三次,一共有4种代币受到了损失WETH,WBTC,LINK和SNX。 阶段4:偿还dYdX闪电贷,离场。 阶段1:?从Balancer中取光所有的STA 前24笔交易将从闪电贷中借到的WETH交易为STA,尽可能降低Balancer中的STA数目,从而提升STA对其他代币的价格。 阶段2:将STA交易为WETH,利用gulp函数漏洞控制价格 在阶段2开始时候,STA的总数目始终被gulp函数重置为之前的1e-18。在第一次通过swapExactAmountIn函数将STA交易为WETH时,攻击者故意将STA交易的数目设为1e-18,由于在交易模型中,STA的数目极小,因此STA的价格相对其他代币会极高。在完成第一次交易后,在Balancer中STA的数目应为2e-18。 在第二次通过swapExactAmountIn将STA交易为WETH之前,攻击者通过调用gulp函数,将在Balancer中的STA数目使用内部记录的1e-18来覆盖当前STA的真实数目(2e-18)。因此在购买WETH时,STA依然可以保持高价。但是因为购买WETH后,WETH的数量减少,每次攻击的非法所得逐渐减小,18次攻击后,Balancer中的WETH被完全盗取。 阶段3:转移目标 当Balancer中的WETH被完全盗取后,攻击者利用相同漏洞,对Balacner的其他代币(WBTC,LINK和SNX)重演攻击,盗光了4种代币后隐遁。
攻击者获利
攻击者攻击地址: 0x81D73c55458f024CDC82BbF27468A2dEAA631407
攻击者最终收款地址: 0xbf675c80540111a310b06e1482f9127ef4e7469a
攻击者最终获利:565.5326240837032ETH,约合90万人民币(北京时间20200630早9点30分价格)
漏洞分析
Balancer合约的gulp函数作用为将某一种代币的内部记录数值覆盖到当前该种代币的真实数目,但是错误的把他设置成没有限制的external函数。gulp函数不应该为external,或者应该加入对于特定使用者或者智能合约拥有者的验证或者防护限制条件。
参考资料:
1.BalancerGithub: https://github.com/balancer-labs/balancer-core/blob/140df49361a58e6c79b395964be98387702a7c0d/contracts/BPool.sol#L334 https://github.com/balancer-labs/balancer-core/blob/140df49361a58e6c79b395964be98387702a7c0d/contracts/BMath.sol#L28 https://github.com/balancer-labs/balancer-core/blob/140df49361a58e6c79b395964be98387702a7c0d/contracts/BPool.sol#L423
2.攻击交易历史记录: https://ethtx.info/mainnet/0x013be97768b702fe8eccef1a40544d5ecb3c1961ad5f87fee4d16fdc08c78106
3.官方攻击报告: https://medium.com/balancer-protocol/incident-with-non-standard-erc20-deflationary-tokens-95a0f6d46dea
了解更多
General?Information:[email protected] Audit?&?Partnerships:[email protected] Website:?certik.org Twitter:[email protected] Telegram:?t.me/certik.org Medium:medium.com/certik 币乎:bihu.com/people/1093109
2022年1月6日获知,当月7日,秦始皇帝陵博物院协同数字藏品服务平台iBox发售全世界第一款以秦始皇帝陵博物院藏品为环境的IP数字藏品——“秦甲士”,这也是“秦甲士”系列产品IP在全世界范畴内的第一次亮相。发行方表明,...
文物不但是一个民族文化的代表,并且是一种弥足珍贵的传统文化。每一个文物的身后都会有一段非常值得留恋与气味的历史时间,都是有非常高的科研使用价值与审美观使用价值。十二兽首是圆明园海晏堂外音乐喷泉的一部分,承重着人们的中华民...
2018年8月2日15:00,北京时间,GOSON数字商品交易平台在泰国曼谷假日酒店全球上线,并获得泰国皇家政府颁发的合法合规交易牌照。在本次颁奖典礼上,泰国各界政要、世界知名投资人、圈内专家学者、行业资深媒体齐聚一堂,...
4月29日,中国领先的数字藏品电商平台数藏中国发布中国空间站在轨一周年纪念数字藏品。本系列数字藏品共4款,分别是中国空间站当前运行状态、中国空间站天和核心舱、神舟载人飞船和天舟货运飞船。其中,天和核心舱是中国空间站发射入...