USD:慢雾：Cellframe 被黑简析

作者：

时间：1900/1/1 0:00:00

据慢雾安全团队情报，2023 年 6 月 1 日，Cellframe 遭到闪电贷攻击，Cellframe ERC20 v2 价格下跌 41.2%。慢雾安全团队第一时间介入分析，并将结果分享如下：

相关信息

攻击者地址：

0x2525c811EcF22Fc5fcdE03c67112D34E97DA6079

攻击者合约地址：

0x1e2a251b29e84e1d6d762c78a9db5113f5ce7c48

攻击交易：

0x943c2a5f89bc0c17f3fe1520ec6215ed8c6b897ce7f22f1b207fea3f79ae09a6

攻击者添加 LP(OLD) 交易：

慢雾：JPEG'd攻击者或已将全部6106.75枚ETH归还给项目方:8月4日消息，慢雾MistTrack监测显示，JPEG'd攻击者或已将全部6106.75枚ETH归还给项目方。[2023/8/4 16:18:46]

0xe2d496ccc3c5fd65a55048391662b8d40ddb5952dc26c715c702ba3929158cb9

前置信息

此次攻击中出现多个新旧合约，我们将使用 LpMigration 合约中新旧合约的参数名作为本次攻击分析中的合约名。

address OLD_CELL: 0xf3E1449DDB6b218dA2C9463D4594CEccC8934346

address LP_OLD: 0x06155034f71811fe0D6568eA8bdF6EC12d04Bed2

慢雾：Poly Network再次遭遇黑客攻击，黑客已获利价值超439万美元的主流资产:金色财经报道，据慢雾区情报，Poly Network再次遭遇黑客攻击。分析发现，主要黑客获利地址为0xe0af…a599。根据MistTrack团队追踪溯源分析，ETH链第一笔手续费为Tornado Cash: 1 ETH，BSC链手续费来源为Kucoin和ChangeNOW，Polygon链手续费来源为FixedFloat。黑客的使用平台痕迹有Kucoin、FixedFloat、ChangeNOW、Tornado Cash、Uniswap、PancakeSwap、OpenOcean、Wing等。

截止目前，部分被盗Token （sUSD、RFuel、COOK等）被黑客通过Uniswap和PancakeSwap兑换成价值122万美元的主流资产，剩余被盗资金被分散到多条链60多个地址中，暂未进一步转移，全部黑客地址已被录入慢雾AML恶意地址库。[2023/7/2 22:13:22]

address CELL: 0xd98438889Ae7364c7E2A3540547Fad042FB24642

慢雾：攻击Ronin Network的黑客地址向火币转入3750枚 ETH:3月30日消息，慢雾发推称，攻击Axie Infinity侧链Ronin Network的黑客地址向交易所火币转入3750枚ETH。此前金色财经报道，Ronin桥被攻击，17.36万枚ETH和2550万USDC被盗。[2022/3/30 14:26:38]

address LP_NEW: 0x1c15f4E3fd885a34660829aE692918b4b9C1803d

具体细节分析

1. 通过 DODO 的 DPPOracle 闪电贷 1000 个 BNB。

慢雾：yearn攻击者利用闪电贷通过若干步骤完成获利:2021年02月05日，据慢雾区情报，知名的链上机池yearnfinance的DAI策略池遭受攻击，慢雾安全团队第一时间跟进分析，并以简讯的形式给大家分享细节，供大家参考：

1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH；

2.攻击者使用从第一步借出的ETH在Compound中借出DAI和USDC；

3.攻击者将第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，这个时候由于攻击者存入流动性巨大，其实已经控制CruveDAI/USDC/USDT的大部分流动性；

4.攻击者从Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/（USDT&USDC)贬值；

5.攻击者第三步将剩余的DAI充值进yearnDAI策略池中，接着调用yearnDAI策略池的earn函数，将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中，同时yearnDAI策略池将获得一定量的3CRV代币；

6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢复；

7.攻击者触发yearnDAI策略池的withdraw函数，由于yearnDAI策略池存入时用的是失衡的比例，现在使用正常的比例体现，DAI在池中的占比提升，导致同等数量的3CRV代币能取回的DAI的数量会变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中；

8.由于第三步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性，导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者9.重复上述3-8步骤5次，并归还闪电贷，完成获利。参考攻击交易见原文链接。[2021/2/5 18:58:47]

2. 通过 PancakeSwap V3 闪电贷 50 万枚 CELL。

慢雾：攻击者系通过“supply()”函数重入Lendf.Me合约实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称，通过将交易放在bloxy.info上查看完整交易流程，可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用，但是这两次调用都是独立的，并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着，在第二次“supply()”函数的调用过程中，攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用，最终提现。慢雾安全团队表示，不难分析出，攻击者的“withdraw()”调用是发生在transferFrom函数中，也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显，攻击者通过“supply()”函数重入了Lendf.Me合约，造成了重入攻击。[2020/4/19]

3. 攻击者在 PancakeSwap V2 LP_NEW 池子中，将闪电贷来的 50 万枚 CELL Token 全部 swap 为 50 枚 BNB。这时，LP_NEW 池中仅剩 8 枚 BNB，而 CELL 有 55 万枚。

4. 紧接着，攻击者在另外一个 PancakeSwap V2 池子 LP_OLD 池中，将 900 枚 BNB swap 为 OLD_CELL。此时 LP_OLD 中的 BNB 数量为 902 枚，OLD_CELL 仅有 7 枚。

5. 在攻击者将 BNB 兑换成 OLD_CELL 后，我们发现攻击者直接调用 LpMigration 合约的 migrate 函数进行 LP 迁移。奇怪的是，在我们刚刚的分析里，攻击者并没有获取 LP Token 的操作，那么这些 LP Token 又是从哪里来的呢？

6. 于是回到攻击合约，通过攻击合约的前一笔交易可以发现，攻击者在交易中向 LP_OLD 池子添加流动性，获取 LP(OLD) Token。

7. 攻击者对 LP_OLD 池的 LP(OLD) 进行连续 migrate 操作，细节如下：

先调用 migrateLP 函数移除 LP(OLD) 的流动性，并将代币返还给用户。由于池子 LP_OLD 中的 BNB 代币很多，在移除流动性时，计算所获得的 BNB 数量会增加，OLD_CELL 减少。随后，在 LP_NEW 池中，getReserves 获取到 BNB 和 CELL 的数量。由于之前的 swap 操作，LP_NEW 池中的 BNB 数量少，CELL 数量多，所以计算出来的 resoult 值会偏大，使得新计算出的 CELL 的 token1 值也偏大。

8. 然而，原本 LpMigration 合约中又是存在 CELL 代币的，所以攻击者添加流动性所用的 token1 代币 CELL 都来自 LpMigration 合约。随后将计算出的结果添加流动性到 ROUTER_V2 池中。（PS: 这也是为什么在攻击发生后，Cellframe: Deployer 会通过 withdrawCELL() 函数将合约中的 CELL 代币全部取出）