首发|空手套以太:Balancer攻击解析

6月29日北京时间凌晨2点03分,CertiK天网系统 (Skynet) 检查到在区块10355807处Balancer DeFi合约异常,安全研究员迅速介入调查,攻击过程浮出水面。

6月29日凌晨2点03分,攻击者利用从dYdX闪电贷中借到的WETH,大量买进STA代币,使得STA与其他代币的兑换价格急剧上升。然后使用最小量的STA(数值为1e-18)不断回购WETH,并在每次回购后,利用Balancer的合约漏洞重置其内部STA的数量(数值为1e-18),以此稳住STA的高价位。

攻击者不断利用漏洞,用高价的STA将某一种代币完全买空(WETH,WBTC, LINK和SNX),最终用WETH偿还闪电贷,并剩余大量STA,WETH,WBTC, LINK和SNX,并通过uniswap将非法所得转移到自己账户中。此次攻击约获利90万人民币。

CertiK分析的此次事件攻击者心理画像:

攻击者在调取STA余额后,快速调用swapExactAmountIn函数购买STA,并在第24次交易使用了另一个函数swapExactAmountOut精准的将STA的数目买到了最小值(1e-18),从而最大化后续攻击的效率。最开始的6笔交易,在没有必要的情况下,3次买入后卖出,损失了4个WETH,故布疑云。并且能够做到隐匿自己的闪电贷阶段痕迹来看,有黑客特性。

灰度调研:55%的美国投资人对BTC投资感兴趣 相比2019年增长36%:11月12日消息,全球最大数字资产管理机构灰度昨日发布用户调研报告,结果显示,55%的调研对象对投资BTC感兴趣,这一数字比去年的调研结果升高了36%。注,本次调研对象为1000位美国人,名下至少有1万美金可用于投资或者拥有5万美金家庭年收入。[2020/11/12 14:06:23]

CertiK判断攻击者是有经验的黑客团队在充分准备后的一次攻击尝试,有很大可能还会继续攻击其他DeFi合约。

阶段0:攻击者从dYdX闪电贷处借款,获得初始WETH资金。

阶段1:攻击者使用WETH将Balancer中的STA尽可能买空,最大程度提高STA价格。

阶段2:攻击者用获得的STA多次买回WETH。每一次都用最小量的STA(数值为1e-18)进行购买,并利用Balancer内部漏洞函数gulp(),锁定STA的数目,控制STA对WETH的价格。重复多次该种买回操作,直到将Balancer中的WETH取空。

阶段3:换一种代币,用STA重复阶段2直到取空该种代币。阶段三重复了三次,一共有4种代币受到了损失WETH,WBTC, LINK和SNX。

阶段4:偿还dYdX闪电贷,离场。

BB:对能满足B1合规要求的EOS DeFi非常感兴趣:10月21日,Block.one首先执行官Brendan Blumer(BB)在推特与网友进行互动时表示,简单安全的比特币网关将是Dapp平台增长的最大推动力之一。与此同时,他称对能够满足B1合规要求的EOS DeFi非常感兴趣,并且正在积极寻找相关项目。他表示,将围绕正在寻找的项目类型,以及需要遵守的相关规定进行更多的交流。[2020/10/21]

阶段1: 从Balancer中取光所有的STA

前24笔交易将从闪电贷中借到的WETH交易为STA,尽可能降低Balancer中的STA数目,从而提升STA对其他代币的价格。 

阶段2:将STA交易为WETH,利用gulp函数漏洞控制价格

在阶段2开始时候,STA的总数目始终被gulp函数重置为之前的1e-18。在第一次通过swapExactAmountIn函数将STA交易为WETH时,攻击者故意将STA交易的数目设为1e-18,由于在交易模型中,STA的数目极小,因此STA的价格相对其他代币会极高。在完成第一次交易后,在Balancer中STA的数目应为2e-18。

孙宇晨:SUN社区将通过投票选出下个SUN矿池:波场创始人孙宇晨发推表示,SUN社区将通过投票选出下一个SUN矿池,每个SUN持有者都可以参与投票,利用投票奖励支持自己最喜欢的TRC20项目,具体的信息将会在下周宣布。[2020/9/18]

在第二次通过swapExactAmountIn将STA交易为WETH之前,攻击者通过调用gulp函数,将在Balancer中的STA数目使用内部记录的1e-18来覆盖当前STA的真实数目(2e-18)。因此在购买WETH时,STA依然可以保持高价。但是因为购买WETH后,WETH的数量减少,每次攻击的非法所得逐渐减小,18次攻击后,Balancer中的WETH被完全盗取。

阶段3:转移目标

当Balancer中的WETH被完全盗取后,攻击者利用相同漏洞,对Balacner的其他代币(WBTC, LINK和SNX)重演攻击,盗光了4种代币后隐遁。

攻击者获利

攻击者攻击地址:

0x81D73c55458f024CDC82BbF27468A2dEAA631407

攻击者最终收款地址:

0xbf675c80540111a310b06e1482f9127ef4e7469a

攻击者最终获利:565.5326240837032 ETH, 约合90万人民币(北京时间20200630早9点30分价格)

Balancer合约的gulp()函数作用为将某一种代币的内部记录数值覆盖到当前该种代币的真实数目,但是错误的把他设置成没有限制的external函数。gulp()函数不应该为external,或者应该加入对于特定使用者或者智能合约拥有者的验证或者防护限制条件。

参考资料:

1. Balancer Github:

https://github.com/balancer-labs/balancer-core/blob/140df49361a58e6c79b395964be98387702a7c0d/contracts/BPool.sol#L334

https://github.com/balancer-labs/balancer-core/blob/140df49361a58e6c79b395964be98387702a7c0d/contracts/BMath.sol#L28

https://github.com/balancer-labs/balancer-core/blob/140df49361a58e6c79b395964be98387702a7c0d/contracts/BPool.sol#L423

2. 攻击交易历史记录:

https://ethtx.info/mainnet/0x013be97768b702fe8eccef1a40544d5ecb3c1961ad5f87fee4d16fdc08c78106

3. 官方攻击报告:

https://medium.com/balancer-protocol/incident-with-non-standard-erc20-deflationary-tokens-95a0f6d46dea

了解更多

General Information: info@certik.org

Audit & Partnerships: bd@certik.org

Website: certik.org

Twitter: @certik.org

Telegram: t.me/certik.org

Medium:medium.com/certik

币乎:bihu.com/people/1093109

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

SANDBancor Network漏洞事件全解析

一、事件简述 2020-06-18(文中所提及时间均为UTC时间),以太坊上的智能合约Bancor Network被爆出存在严重漏洞。该漏洞由Bancor Network团队和白帽最先发现,并第一时间对存在被盗风险的资金进行了转移,涉及资金50W余美元。

比特币交易腾讯云区块链李力:区块链赋能数据要素流通

7月5日,由杭州市余杭区政府指导,杭州未来科技城管委会、巴比特主办的“2020杭州区块链国际周”正式开幕。来自世界各地的行业大咖、互联网大厂、创新企业、投资机构、学术机构、主流媒体将齐聚亮相,共同探讨区块链产业面临问题及未来趋势。 腾讯云区块链总经理李力出席会议并发表主题演讲《区块链赋能数据要素流通,助力数字经济高质量发展》。

ETH一文了解CBDC(央行数字货币)总体框架

区块链技术的提出对降低社会信用成本、改善社会信用环境有重要意义。当前,区块链技术在国内商业银行中的应用仍然处于应用探索阶段,但随着国内商业银行对此技术认识的深入,必然会有更多商业银行陆续使用区块链技术。

[0:0ms0-0:499ms