ETH:采用延時喂價還被黑？Warp Finance 被黑詳解

By:?Kong@慢霧安全團隊

背景

通過以上分析我們可以知道WETH的價格和DAI的價格獲取是正常的，無法被惡意操縱，因此我們可以大膽猜測：攻擊者通過將巨量的WETH打入WETH-DAI池子中換取DAI，這時候池子中WETH的數量將大大的增加，而由于滑點的存在，這種巨量兌換操作必然是會虧損一大部分WETH的。所以我們再看上面LP單價的計算方式，由于WETH數量的大大增加，在巨量兌換后池子中WETH數量*WETH價格+池子中DAI數量*DAI價格將遠大于巨量兌換前的，也就是池子的總價值大大增加了。所以LP的單價也隨之提高了，因此攻擊者就可以通過其抵押的LPToken借出更多的穩定幣了。

法國風投公司Partech完成1.2億歐元基金募集，將主要投資歐洲新興科技行業初創公司:12月5日消息，法國風投公司 Partech 完成 1.2 億歐元（約合 1.24 億美元）用于早期科技創業公司的種子基金募集，該基金名為 Partech Entrepreneur IV，將主要投資歐洲新興行業初創公司。該基金計劃對目標公司進行 30 萬至 300 萬歐元的種子輪或 pre-seed 輪投資。

此前報道，6月16日，加密經紀和托管金融機構 Upvest 完成 4200 萬美元 B 輪融資，Partech 參投此輪融資。（TechCrunch）[2022/12/5 21:23:47]

分析思路驗證

我們可以借助Ethtx.info來驗證我們的猜測是否正確：

https://ethtx.info/mainnet/0x8bb8dc5c7c830bac85fa48acad2505e9300a91c3ff239c9517d0cae33b595090

M31 Capital推出1億美元Web3基金“Web3 Opportunity Fund”:10月4日消息，據M31 Capital Management,LLC官方網站顯示，這家專注于加密資產和區塊鏈技術的投資公司已經推出了一支Web3新基金“Web3 Opportunity Fund”，該基金的募資上限為1億美元，目前已經從一些頭部投資方那里獲得了5000萬美元的投資承諾，未來將重點投資去中心化基礎設施，流動性Token等加密項目。

除了這支Web3新基金之外，M31 Capital此前還推出了多個加密基金產品，包括比特幣基金、DeFi 基金和風險投資（VC）基金，并開創了“流動性風險基金”的概念。[2022/10/5 18:39:31]

1、通過上文中第4點分析我們可以知道：攻擊者通過Uniswap的WETH-DAI交易對將大約34萬的WETH兌換成約4762萬DAI，此時WETH-DAI池子中約剩下有43.6萬枚WETH和1328.8萬枚DAI，而在此之前池子里約有9.5萬枚WETH和6091萬枚DAI。

2、我們可以在Ethtx.info發現在兌換前WETH-DAI池子的LPToken單價為58815427。

巴克萊CBDC黑客馬拉松將于9月底舉行:7月25日消息，近日，英國金融巨頭巴克萊銀行宣布，將于2022年9月27日至28日攜手Digital Asset、IBM和安永聯合舉辦一場央行數字貨幣（CBDC）黑客馬拉松活動。參賽者將為一系列挑戰編寫解決方案，包括連接到巴克萊模擬的央行和商業銀行。具體來說，這項模擬將遵循英格蘭銀行的零售英國CBDC供應平臺模型，包括中央銀行運營核心分類賬，并通過應用程序編程接口（API）提供對授權和監管支付接口提供商（PIP）的訪問。一個評委小組將對解決方案進行評估，并頒發獎品。此外，參與者還將有機會探索如何利用行業生態系統來解決現有和新形式貨幣的挑戰，包括零售英國CBDC和商業銀行存款。（未央）[2022/7/25 2:35:17]

巨量兌換后WETH-DAI池子的LPToken單價為135470392。

我們可以看到由于WETH數量的增加造成兌換后池子的總價值幾乎翻倍了，因此單個LPToken在Warp中可借出的穩定幣就更多了。

3、接下里如我們猜測的那樣攻擊者在拉高LPToken的價格后通過WarpControl合約的borrowSC函數分別借出DAI和USDC。

4、最后在Uniwsap的WETH-DAI池子總歸還DAI，重新拿回34萬枚WETH完成攻擊操作。最后只需按部就班的歸還閃電貸即可獲利。

完整的攻擊流程如下

1、攻擊者部署攻擊合約，并通過dydx與Uniswap閃電貸借出DAI和WETH。

2、攻擊者拿出一小部分的DAI和WETH在Uniswap的WETH-DAI池中添加流動性，并獲取LPToken。

3、攻擊者使用添加流動性獲取的LPToken抵押到WarpFinance中，為借出穩定幣做準備。

4、攻擊者利用巨量的WETH在Uniswap兌換成DAI來拉高WETH-DAI池子的總價值，使得WarpFinance中LPToken的單價變高。(注意這里WETH和DAI價格獲取是正確的并沒有被操縱，被操縱的是WETH的數量，通過增加WETH的數量來拉高池子的總價值)。

5、由于LPToken的單價變高，導致攻擊者抵押的LPToken可以借出更多的穩定幣來進行獲利。

總結

本次攻擊的本質是通過操縱LPToken的單價來獲取更多的穩定幣可借貸數量進行獲利的。這是由于在WarpFinance中LPToken的價格是通過LP池子的總價值除以LPToken的總數量得到的，雖然代幣價格獲取正確，但代幣數量是可被操縱的，因此LP的單價就是可被操縱的，這就形成了攻擊的必要條件了。最終項目方損失約800萬美元，但攻擊者抵押的LP也留在了Vault中，如果抵押的這部分LP后續可被清算的話可以一定程度上的彌補項目方的損失。

相關參考鏈接如下：

Uniswap預言機實現介紹：

https://uniswap.org/docs/v2/core-concepts/oracles/

本次分析的攻擊交易：

https://etherscan.io/tx/0x8bb8dc5c7c830bac85fa48acad2505e9300a91c3ff239c9517d0cae33b595090

慢霧導航

慢霧科技官網

https://www.slowmist.com/

慢霧區官網

https://slowmist.io/

慢霧?GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

幣乎

https://bihu.com/people/586104

知識星球

https://t.zsxq.com/Q3zNvvF

火星號

http://t.cn/AiRkv4Gz

鏈聞號

https://www.chainnews.com/u/958260692213.htm

Tags：ETHWETWETHDAIPETH幣WeTokenweth幣等于多少人民幣DAIQ

POL幣最新價格