CHE:Definer 預言機攻擊事件分析

前言

北京時間12月13日，知道創宇區塊鏈安全實驗室?關注到針對Definer預言機的攻擊事件。

作為第三方區塊鏈安全機構，受Definer、Cherryswap和OEC組成的調查小組邀請參與本次攻擊事件的技術調查工作。實驗室第一時間啟動應急，跟蹤本次事件進行分析并出具調查報告。

分析

tx：https://www.oklink.com/en/oec/tx/0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a?tab=4

CHZ（Chiliz）上漲觸及0.179美元，24小時漲幅27.38%:金色財經報道，行情數據顯示，CHZ（Chiliz）上漲觸及 0.179 美元，現報價 0.177 美元，24 小時漲幅 27.38%。行情波動較大，請做好風險控制。

此前報道，Chiliz開發的EVM兼容鏈已產生創世區塊。[2023/2/8 11:54:34]

攻擊者信息

攻擊tx：0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a

攻擊合約：0x05806559f7f7732f2d3e71bca2eb12eab1938ceb

BitKeep內置NFT市場從Wyvern協議遷移至Seaport:12月16日消息，BitKeep錢包內置NFT交易市場已完成從Wyvern協議遷移至Seaport協議，將為用戶提供更低成本的NFT交易環境。BitKeep表示，目前用戶在App內交易以太坊、BNBChain、Polygon、Arbitrum等多鏈NFT，每筆交易預計可節省50%以上的Gas費用，同時，新用戶將不再需要支付賬戶注冊費。[2022/12/16 21:48:05]

被攻擊池信息

USDT池：0xc1b02e52e9512519edf99671931772e452fb4399

Coinbase暫停制作BAYC NFT短片三部曲的計劃:12月5日消息，Coinbase已證實其以Bored Ape Yacht Club（BAYC）為主題的“The Degen Trilogy”短片系列的制作已經暫停。此前7月份，Coinbase已發布該三部曲的第一部分“RUN THE CHAIN”。

Coinbase發言人表示：“我們正在不斷改進我們的內容策略，并決定暫停剩余兩部短片的制作，同時我們確定創意的最佳前進道路。我們將繼續專注于更直接的創造性努力。”但該發言人拒絕詳細說明暫停制作的原因。

報道稱，該三部曲的第一部分在發布后受到社區廣泛批評，且發布時機并不好，因為是在Coinbase 6月份的大裁員后發布的。自4月推出以來，Coinbase NFT市場的交易量僅為700萬美元，Coinbase首席產品官Surojit Chatterjee已于11月底辭職。（Decrypt）[2022/12/5 21:23:01]

OKB池：0xd63b340F6e9CCcF0c997c83C8d036fa53B113546

美歐聯合貿易和技術委員會探索利用區塊鏈技術追蹤溫室氣體排放:金色財經消息，美國與歐盟聯合貿易和技術委員會將合作研發跟蹤碳排放的技術，并將區塊鏈技術視為衡量和利用生命周期溫室氣體（GHG）評估的潛在工具。

該委員會是拜登政府于2020年成立的，旨在協調美國和歐盟之間的技術和貿易政策。在一份聯合聲明中，目標之一是改進跟蹤碳排放的方法和過程，工作組將研究包括區塊鏈技術在內的幾種“新興技術”的潛力，以更可靠地跟蹤溫室氣體排放，還將考慮人工智能、機器學習和“物聯網”（IOT）技術。根據聯合聲明稱，工作組的目標是開始部署應對氣候變化的技術，但這些技術具體究竟是什么仍不清楚。（CoinDesk）[2022/5/17 3:20:16]

BTCK池：0x33a32f0ad4aa704e28c93ed8ffa61d50d51622a7

ETHK池：0x75dcd2536a5f414b8f90bb7f2f3c015a26dc8c79

攻擊流程

合約方面調用流程

1、攻擊合約0x058065調用CherrySwap的FlashSwap功能進行閃電貸，貸出了CHE/OKB池子中幾乎全部的CHE。此時池子僅剩極少量CHE

2、抵押給Definer借款來的1000個CHE，Definer預言機計算價格依賴CherrySwap池中兩種代幣的余額比例，導致Definer預言機計算1000個CHE價格失準，1000個CHE的價值被認為極大值。

3、攻擊者借出USDT池子約462,318個USDT

4、攻擊者借出OKB池子約37,172個OKB

5、攻擊者借出BTCK池子約3個BTCK

6、攻擊者借出ETHK池子約8個ETHK

7、攻擊者通過CherrySwap的CHE/USDT池子利用10,000個USDT換出30,765個CHE

8、歸還CherrySwap閃電貸1,575,093個CHE

漏洞細節

根據Definer各合約部署地址(https://docs.definer.org/deployed-contracts/addresses)，由于預言機實現過程通過CherrySwap池子的兩個Token在池子的余額來判斷價格：

預言機實現過程中沒有考慮到閃電貸貸出時余額大量減少的情況，導致了Definer項目方預言機計算失準，從而導致了該事件。

以USDT池子為例:

從具體Transaction中我們跟進到SavingAccount合約的邏輯合約0xc1b02e52e9512519edf99671931772e452fb4399#priceFromAddress

在該函數中使用AggregatorInterface(tokenInfo.chainLinkOracle)的預言機來詢價

排查獲取AggregatorInterface中具體調用地址發現，其映射變量位于TokenRegistry合約：

而TokenRegistry的合約部署地址根據官方的deployed-contracts/addresses可知位于0x0E16Ada9C4Cf95d6722c65504555124A241DdA81?

在該地址通過對CHE代幣地址0x8179d97eb6488860d816e3ecafe694a4153f216c查詢得到對應使用的預言機：

該地址即為存在漏洞的預言機地址：

總結

本次事件是由于Definer在OEC對于預言機的實現存在問題，使用了單一流動池在一個時間點的池內代幣余額作為價格源從而導致了事故的發生，而以太坊的實現則使用了ChainLink的預言機不存在該問題。

來源：金色財經

Tags：CHEEFINDeFineFINPOSCHEefinity幣分配DefinexWick Finance

TRX