去中心化金融(DeFi)作为区块链生态当红项目形态,其安全尤为重要。从去年至今,发生了几十起安全事件。BlockSec作为长期关注DeFi安全的研究团队(https://blocksecteam.com),独立发现了多起DeFi安全事件,研究成果发布在顶级安全会议中(包括USENIXSecurity,CCS和Blackhat)。在接下来的一段时间里,我们将系统性分析DeFi安全事件,剖析安全事件背后的根本原因往期回顾:(1)我为自己代言:ChainSwap攻击事件分析(2)倾囊相送:Sushiswap手续费被盗(3)偷天换日:深度剖析Akropolis攻击事件(4)表里不一:Sanshulnu的Memestake合约遭袭事件分析0x0.前言
北京时间2021年3月9日凌晨,以太坊(Ethereum)去中心化交易平台DODO的多个V2众筹池遭到攻击,攻击者利用众筹池的合约漏洞,用自己创建的token套出了池内的token,上演了一出狸猫换太子的把戏。只不过,从之后的分析来看,事情的发展显然偏离了攻击者的预期轨道……如果您是个以太坊小白又恰巧喜欢看故事的话,可以从下面的0x1开始阅读。如果您喜欢简单直接的攻击分析的话,那可以下拉到0x2开始阅读。接下来,就让大家跟我一起来看看攻击者到底做了什么,而当时又到底发生了什么。为了便于后文的讲述,就管这次的攻击者(Attacker)叫做小A吧。0x1.事件回顾
“攻击成功了吗?成功了,但没完全成功。”这可能就是小A当时的心理写照Nocode,nobug有代码的地方,就可能有漏洞。智能合约虽然被人们冠以“智能”二字,但归根到底也是一段段的代码,因而也总被别有用心的人揪住它的漏洞搞一波钱实现财富自由。我们这次故事中的智能合约,就是DODO的V2众筹池合约。而我们的主角小A,就是那个发现了该合约漏洞并试图趁机搞钱的人。0x1.1概念简析
提了这么多次DODOV2众筹池,那它到底是个啥玩意儿?简单来说呢,它就是个资金池,只不过本文中的资金所指代的并非我们日常接触到的法币,而是以太坊上的代币(ERC20token)。这种资金池在初始化的时候会设定两种链上有价值的ERC20token作为这个池子的tokenpair,然后用户可以正常使用这些池子提供的服务。在这次小A针对DODOV2众筹池的攻击中,就是利用了该池子提供的闪电贷(flashloan)服务。闪电贷(flashloan)相比于普通借贷,具有无需抵押即可借贷大量资金,加之还不上钱就状态回滚的特点。简单来说就是可以空手套白狼,要是最后借出的钱自己一通操作之后亏了还不上也不打紧,所有相关状态会回滚到借贷之前,而对于借贷者来说唯一的损失除了手续费之外,可能就只有时间了。使用闪电贷的逻辑也很简单,就是用户从资金池借钱-->对借来的钱进行操作-->还钱,而这些需要在一笔交易中完成。Ok,简单了解完相关的概念之后,咱接着看小A的操作。0x1.2小A的骚操作
Safe、BitKeep等超30个项目合作推出MEV Blocker RPC:4月5日消息,Safe、BitKeep、DODO、Oasis、Balancer、1inch等超过30个以太坊项目合作推出MEV Blocker RPC,该工具旨在保护用户免受各种类型的MEV攻击。
MEV Blocker RPC是一个路由用户交易到“搜索器”网络而不是公共内存池的工具,这些搜索器通过竞标获取反向运行交易的权利,保护用户免受抢先交易和三明治攻击。[2023/4/5 13:46:40]
小A接下来做了两件事儿。第一件事儿就是创建了两个ERC20token的合约,说白了就是造了俩假币(因为没价值),分别叫做FDO和FUSDT.创建完这俩假币之后呢小A就把它们存入到之后将被攻击的DODO池子里了。小A做的第二件事儿就是使用了DODOV2众筹池的闪电贷(flashloan)服务。上文提到闪电贷使用逻辑中的一环就是对借来的钱进行操作,而本文的主角小A就是在这一环节上玩儿出了花样。小A发现这个DODOV2众筹池是可以被重新人为初始化的,而且没什么限制。接着小A就在借出钱之后把这个池子重新初始化了,并且初始化时设定的tokenpair变成了小A自己造的俩假币FDO/FUSDT(这就是之前提到的考点,现在考到了吧)。并且小A在借钱之前已经通过上文他做的第一件事儿把足量的两种假币都预先存入到了这个池子里,这就导致池子在检查小A欠钱情况的时候,所检查的token不再是之前的真币,而是小A存入其中的假币,加之数额也足够。这样一来小A就用假币套出了真币。咱们可以对上述过程打个简单的比方,细节按下不表。就是有一家银行,这个银行就可以类比上文提到的资金池。同时该银行也有一个小本本拿来记账,只不过在小本本的首页有一条记录。至于其他的币种,美元也好,越南盾也好。用户也可以往里面存,但银行不管你,它的小本本上虽然也会记账,但核对时它只看涉及到人民币的记录。为了类比众筹池可以被重新初始化的问题,可以这么理解。就是这个小本本有个问题,问题出在首页的这句的规定是用铅笔写的,并且这个小本本就放在窗口,外人拿个橡皮擦+铅笔就能改。然后这个问题被小A发现了,他先往这个银行存了100越南盾,银行会记账。然后小A又去银行借出100人民币,银行又记账。注意银行会检查所有用户对人民币的借存情况并和储备量比对,从而确认是否有用户借了人民币但没还。刚借完钱,小A就鸡贼地掏出准备好的铅笔+橡皮将小本本首页的规定改为了。然后银行核对金额的时候,因为规定改为了只处理越南盾,而查验的时候发现越南盾的储备量和小A存入的越南盾数额是一样的,说明没人欠银行钱。然后小A拿着借出来的人民币潇洒离去,不再回头。小A针对DODOV2众筹池的攻击思路就如上文所述,小A接下来要做的就是把想法付诸实际行动。本文从合约代码层面要分析的攻击也就是上述提到的攻击,然而咱的故事还没完。不想接着看故事的看官可以直接下滑到0x2的攻击分析部分,剩下的看官,就请容我接着给您讲故事。0x1.3攻击过程:山路十八弯
Fireblocks宣布支持TRX及波场链上全部TRC20代币:据官方消息,数字资产和加密货币基础设施平台Fireblocks宣布,旗下专注机构业务的数字资产平台正式新增对TRX和波场链上所有TRC20代币的支持。Fireblocks 网络上1200 多位流动性合作方、交易机构及交易方目前可通过波场链安全收发或托管TRX及BTT、JST、NFT等其它TRC20代币。
Fireblocks 是一个企业级平台,为转移、存储、发行数字资产提供可靠的基础设施,现已支持超过 1100 种代币和 35 个协议。Fireblocks用户已利用该平台积累托管资产 450 亿美元,为各大机构超过 2.5 万亿美元的数字资产转账提供技术支持。
波场TRON致力于打造下一代全球互联网及金融基础设施,交易手续费极低、可扩展性高,且拥有业内规模最大、最活跃的社区。目前,波场公链用户总数超过9400万,交易笔数超32亿,总锁仓量(TVL)超100亿美元。[2022/5/24 3:37:30]
第一回.螳螂捕蝉黄雀在后咱书接上文。项目方也就是DODO采用相同的逻辑创建了多个池子,而这些池子都有同样的漏洞。小A第一次瞄准的池子是(WSZO/USDT)池,WSZO和USDT就是两种有价值的代币(ERC20token)。他美滋滋的把自己的攻击逻辑写入一笔交易之后,就准备躺着收钱,可就在这时,出岔子了。咱知道,以太坊上的交易存在交易费,这笔费用是用户支付给矿工的。所以矿工为了自身利益最大化,当他们从pengding池打包交易准备上链时会查看各条交易的交易费并排个序,交易费高的优先上链。而由于以太坊的去中心化机制,黑暗森林法则在这也同样适用。DeFi(去中心化金融)项目的攻击者、套利者抑或抢跑者潜伏在世界各地,一旦发现目标,就会一拥而上,至于最后谁能成功,除了技术等因素,就得看谁出的交易费高了。回到主角小A,他发现了漏洞准备趁机搞一波钱,可小A的举动被另一个角色--抢跑机器人--发现了,咱称这个抢跑机器人为小B吧。小B就在交易费上做了文章,他把交易的油费(gasprice)提高了,从而增加了这笔交易的交易费。这就使得矿工在打包交易的时候优先打包了小B的交易。一般把小B的这种操作叫做抢跑交易(frontrunning)。等轮到打包小A交易的时候,WSZO/USDT池子里的WSZO和USDT已经空空如也,只剩下一堆没啥价值的(FDO/FUSDT)。小A可能以为这一次的失败只是一次普通的抢跑交易,于是他又故技重施。只不过这次的目标换成了(ETHA/USDT)池,而且为了防止被抢跑,在这一次的交易中小A提高了交易的油费(gasprice)。可小A不知道的是,他已经被小B盯上了。同样的套路,同样的手法,小A又一次被小B抢跑了交易。第二回.半路杀出个程咬金到目前为止,小A两次攻击都是给小B做了嫁衣,甚至自己还亏了交易费!小A那个气啊,于是痛定思痛,把目标瞄向了下一个池子(wCRES/USDT)。并且这一次小A成功的绕过了小B的监控。事情发展到现在似乎小A就要成功了,可现实就是喜欢和小A开玩笑。第三次攻击虽然绕过了小B,但小A把钱成功取出来之后并没有直接转移到自己的地址,而是创建了一个新合约来接收这笔钱。小A的想法是先把钱暂存在这个新合约内,之后再转移到自己的账户中。然而,小A的这个用来暂存赃款的合约又有个漏洞,就是任何人都能从这个合约中取出(withdraw)合约内的资金。However,thiscontracthadaloopholethatallowedanyonetowithdrawassetsfromit.而恰巧这个漏洞,被另一个角色(小C)发现了。于是,在小A发出一笔交易准备从这个合约中取回赃款的时候,又双叒被抢跑了,这不过这一次抢跑者变成了小C。看到这,小A既是攻击者,又是抢跑交易的受害者。这波啊,小A算是偷鸡不成蚀把米。第三回.倔强的小A前文提到,具有同样逻辑漏洞的池子有多个。小A又双叒叕准备发起他的第四次攻击了,这一次,目标换成了(DODO/USDT)池。这一次小A学聪明了,一方面他将暂存赃款的合约替换为了新合约,另一方面小A也将代币(token)转移的过程合并在了一笔交易中,以免出现像第三次攻击中被小C抢跑的情况。而这一次,不撞南墙不回头的小A终于成功用假币(FDO/FUSDT)搞到了真钱(DODO/USDT)。第四回.疯起来连自己都咬四次攻击终获成功之后小A满足了吗?事实告诉我们答案是否定的。不知道小A是怎么想的,可能是历经曲折终于成功导致兴奋过头。这第五次攻击,他的目标瞄向了(wCRES/USDT)池。是不是有点眼熟?没错!这个池子正是小A在第三次攻击中的目标池子。而经过第三次攻击的洗劫之后,这个池子已经从(wCRES/USDT)池变为了(FDO/FUSDT)池,即真币池成了假币池。因而在这一轮攻击中,小A用同样的攻击套路得到的结果无非就是拿着新假币去换旧假币……而这俩假币还都是小A自己造的。可能,小A还是个怀旧的人吧……咱们关于小A的故事,也走向了尾声。或许以太坊(Ethereum)对于攻击者而言就是一片黑暗森林,猎手与猎物的身份在这个特殊的竞技场也并非一成不变。终要记得,当你在凝视深渊的时候,深渊也在凝视着你。ok,接下来就是正儿八经的攻击分析环节了。准备好了吗?坐稳扶好,发车了。0x2.攻击分析
Cathie Wood谈Blockchain.com巨额融资:公开市场和私募市场间的套利机会引人注目:4月3日消息,ARK Invest创始人Cathie Wood在推特转发Blockchain.com连续完成巨额融资、估值短期上涨3倍的信息称,公开市场和私募市场在公司估值之间的套利机会引人注目。在这种情况下,公司定位和质量之间的套利机会更加引人注目。[2022/4/3 14:01:39]
为便于理解,下文将以第三次攻击为例子来进行分析,涉及到的池子为(wCRES/USDT)池0x2.1代码分析
以下提到的函数都来源于资金池(wCRES/USDT)的合约代码,并且在本次攻击事件中被涉及。0x2.1.1getVaultReserve函数
首先来看getVaultReserve函数,这个函数的功能很简单,就是当用户调用它的时候会返回当前池子里tokenpair的储量。0x2.1.2flashloan函数
上图就是本次攻击中资金池合约的flashloan函数。可以看到当用户调用这个函数时,会先根据用户传入的baseAmount和quoteAmount这两个参数将相应数量的token转入参数assetTo所代表的地址。到此,就算是完成了闪电贷(flashloan)的借钱环节。顺着代码往下看,只要data不为空,就会触发外部逻辑。而这个外部逻辑,就是调用者自己实现的,本次攻击的实现,也正是在这个外部逻辑执行时做了手脚。0x2.1.3init函数
Blockstack CEO:智能合约的潜在应用远远超出其名称所示的范围:区块链软件公司Blockstack的联合创始人兼首席执行官Muneeb Ali认为,智能合约的潜在好处和应用远远超出其名称所示的范围。
Muneeb Ali称,就像云计算对广泛的行业产生了影响,而不仅仅局限于金融业,智能合约也是如此。它们甚至不应该被称为“智能合约”,因为这是一个相当局限的名称。(Cointelegraph)[2020/6/12]
上图就是本次攻击中最为关键的初始化函数init.可以注意到该函数是外部调用的,而且最关键的是,这个函数有以下两个特点:这就意味着任何人都可以从外部调用这个函数。则意味着这个init函数除了在该池子建池时被必要的调用一次后,仍然可以在任何时候被调用来重新初始化这个池子。调用者调用这个函数时,所传入的两个参数baseTokenAddress和quoteTokenAddress会被用来给变量_BASE_TOKEN_和_QUOTE_TOKEN_分别的重新赋值。而这两个变量的改变就意味着这个池子的tokenpair也会发生改变。而这,便是wCRES/USDT池变FDO/FUSDT的原因。0x2.2攻击过程
攻击交易的流程如下图所示
Step2攻击者根据Step1得到的储量,分别调用两个假币合约的transferFrom函数给资金池合约(DLP)转入略多于该储量的假币(FDO和FUSDT),从而保证能通过flashloan函数的余额检查。
Blockstale BTM计划在尼日利亚安装30多台比特币ATM:金色财经报道,Blockstale BTM在尼日利亚安装了首台比特币ATM,并计划在尼日利亚各地再安装30多台终端。Blockstale首席执行官兼创始人Daniel Adekunle表示,尽管尼日利亚存在加密货币的法律不确定性,但尼日利亚恰好是非洲加密货币交易者最多的国家。[2020/4/2]
Step3攻击者接着调用资金池合约(DLP)的flashloan函数,借出了略少于资金池储量的真币(wCRES和USDT)。
Step4flashloan函数在将wCRES和USDT转入到攻击者预先设置好的合约地址之后,会自动调用攻击者的外部逻辑。而攻击者就是在外部逻辑的实现中调用了wCRES/USDT这个池子的初始化函数init,将该池子的tokenpair替换为了FDO/FUSDT。
0x3.总结及安全建议
本次攻击之所以发生,最主要的问题出在DODOV2众筹池的init函数上。查看该函数的调用情况可以发现,正常的逻辑应该是该函数只能在刚建池的时候被调用一次,之后就应该设置访问权限,同时也不能被重复调用。攻击者就是利用了init函数可以被重复调用来重新初始化池子的这一漏洞,结合闪电贷(flashloan)将池子中的真币用假币套取了出来,从而完成了攻击。因此,我们给相关项目方的建议有:对项目合约的关键功能做好权限审核工作,以免核心函数由于权限要求过低被滥用引发不可预料的后果从而造成损失。提高项目代码审计意识,项目上线前需咨询相关的区块链安全公司进行充分的安全审计,最大程度的保证项目安全。0x4.参考
慢雾:狸猫换太子——DODO被黑分析DODOPoolIncidentPostmortem:WithaLittleHelpfromOurFriendsImportantupdateregardingrecenteventsonDODODODO-REKT0x5.附录
文中涉及的外部地址和合约地址
攻击者A抢跑者B抢跑者C资金池DLP(WSZO/USDT)资金池DLP(ETHA/USDT)资金池DLP(wCRES/USDT)资金池DLP(DODO/USDT)文中涉及的交易
第一次攻击A的攻击交易(fail)B对A的抢跑交易第二次攻击A的攻击交易(fail)B对A的抢跑交易第三次攻击A的攻击交易C的抢跑交易(抢跑了A对代币USDT的转移)A被C抢跑的代币(USDT)转移交易C的抢跑交易(抢跑了A对代币wCRES的转移)A被C抢跑的代币(wCRES)转移交易第四次攻击A的攻击交易第五次攻击A的攻击交易
撰文:MR.Whale,加密分析师编译:Lemon由于比特币在5月份价格大幅下跌后在30,000美元至32,000美元的范围内挣扎,另一个重大的看跌事件笼罩着比特币.
1900/1/1 0:00:00前言“我TonyTao有一个梦想,就是在敦煌风化之前尽早去看一次!”为了实现TT的梦想,同时为了在实习生走之前给她留下一个粉红色的回忆,我们踏上了去往敦煌的旅程.
1900/1/1 0:00:00收录于话题#每日期权播报 播报数据由Greeks.live格致数据实验室和Deribit官网提供。今天是月度交割日,比特币围绕40000美元震荡,以太坊重回2400美元.
1900/1/1 0:00:00Odaily星球日报译者|Moni 就现阶段而言,数字货币市场似乎进入到了一个横盘调整期,交易者和投资者不得不在低波动性市场条件下寻找更多机会、探索新的收益来源.
1900/1/1 0:00:007月13日,标普道琼斯指数(S&PDJI)宣布推出新的标普加密货币广泛数字市场(BDM)指数。BDM代表着加密货币市场表现的快照,涵盖240余种加密货币.
1900/1/1 0:00:00扎克伯格:谢谢凯西,很高兴来到这里。我们有好多事要谈。CaseyNewton:一如既往,有很多事要跟你讨论.
1900/1/1 0:00:00