SWAP:兩天內遭遇兩次攻擊 DeFi 協議 FEG 真的傷不起

北京時間 2022 年 5 月 16 日，知道創宇區塊鏈安全實驗室?監測到多鏈 DeFi 協議 FEG 遭到閃電貸攻擊，攻擊者竊取 144 ETH 和 3280 BNB，損失約 130 萬美元。

5 月 17 日，多鏈 DeFi 協議 FEG 再次受到攻擊，攻擊者竊取 291 ETH 和 4343 BNB，損失約 190 萬美元，其中 BSC 130 萬美元，以太坊鏈 60 萬美元。

該協議在 BSC 和 Ether 上都被攻擊了，下面的圖分別是兩鏈上的攻擊事件交易哈希。本次攻擊事件主要原因是 swapToSwap() 函數中 path 地址可被攻擊者控制。

數據：Meta Merge接入NFT市場，兩天內鑄造量突破10萬枚:4月17日消息，元宇宙游戲平臺Ultiverse孵化的輕量級休閑類手游Meta Merge接入NFT市場，兩天內鑄造量為107,483枚NFT，其中每個NFT都擁有獨特的屬性和技能，可用于游戲內購買、交易和收集。MetaMerge是一款使用Ultiverse SDK并結合AIGC技術的新型游戲項目。[2023/4/17 14:07:49]

攻擊合約：0x9a843bb125a3c03f496cb44653741f2cef82f445

攻擊者地址：0x73b359d5da488eb2e97990619976f2f004e9ff7c

漏洞合約地址：

BSC: 0x818e2013dd7d9bf4547aaabf6b617c1262578bc7

Ether: 0xf2bda964ec2d2fcb1610c886ed4831bf58f64948

攻擊 tx：

BSC:0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063

GameStop的NFT市場交易量在兩天內超過Coinbase NFT市場交易量:7月14日消息，美國游戲零售商GameStop新NFT市場公開測試版僅上線兩天交易量已達3167枚ETH（約合350萬美元），雖然與OpenSea相比微不足道，但其已接近Coinbase NFT市場歷史交易量的兩倍，而GameStop尚未開始提供其視為市場計劃核心產品的游戲NFT。

Dune Analytics數據顯示，Coinbase的NFT市場自推出以來交易量總計1704枚ETH，約合180萬美元。（Decrypt）[2022/7/14 2:12:29]

Ether:0x1e769a59a5a9dabec0cb7f21a3e346f55ae1972bb18ae5eeacdaa0bc3424abd2

1.攻擊者 0x73b3 調用事先創建好的攻擊合約 0x9a84 從 DVM 中閃電貸借出 915.842 WBNB，接著將其中的 116.81 WBNB 兌換成 115.65 fBNB。

QITCHAIN全網算力兩天內增加200P:據官方消息，隨著QITCHAIN主網的更新以及兼容Chia后，5月21日零時開放自由交易，到25日零時，QITCHAIN全網算力兩天內增加了200P左右，大部分Chia礦工貢獻。目前FIL，CRU等礦工也在陸續進場中。[2022/5/26 3:42:56]

2.攻擊者 0x73b3 通過攻擊合約 0x9a84 創建了 10 個合約以便后面利用漏洞。

3.攻擊者 0x73b3 將第一步中兌換得到的 fBNB 通過函數 depositInternal() 抵押到 FEGexPRO 合約 0x818e 中。

4.攻擊者 0x73b3 調用 depositInternal() 和 swapToSwap() 函數使得 FEGexPRO 合約 0x818e 授權 fBNB 給第二步創建好的合約，重復多次調用授權 fBNB 給創建的 10 個合約。

以太坊在兩天內銷毀了新幣發行量的36%:金色財經報道，自以太坊改進提案(EIP)1559激活以來，該網絡已從流通中移除或“銷毀”了超過5000枚ETH，價值約1400萬美元，占同期新幣發行總量的36%。[2021/8/7 1:39:59]

5、由于上一步中已經將攻擊者 0x73b3 創建的 10 個合約都已授權，攻擊者用這些已被授權的合約調用 transferFrom() 函數將 FEGexPRO 合約 0x818e 每次轉走 113.452 fBNB。

6、攻擊者 0x73b3 又從 PancakePair 的 LP 交易對 0x2aa7 中借出 31217683882286.007 的 FEG 和 423 WBNB 并重復上面的 第三步、第四步和第五步，最終獲得 。

SushiSwap兩天內將宣布重要里程碑:SushiChef凌晨發推稱，我們目前正在修復一個新功能中最后一分鐘出現的bug，并將在接下來的24至48小時內宣布一個重大里程碑。很快就可以用Sushi來做貢獻和賺錢。[2020/10/29]

7、最后歸還閃電貸，將上面攻擊獲得的所有 WBNB 轉入攻擊合約 0x9a84 中。

查看 FEGexPRO 合約，我們能看到 depositInternal() 函數和 swapToSwap() 函數的具體邏輯。其中 depositInternal() 函數進行質押，用戶的余額受到合約當前代幣余額的影響，第一次攻擊者正常質押后 balance 也正常增加，而由于當前合約代幣余額沒變，后面的質押只需要傳入最小值調用即可。

通過調用 swapToSwap() 函數傳入惡意的 path 地址參數，當前合約代幣余額并不會受到影響，IERC20(address(Main)).approve(address(path), amt); 這樣就能給 path 地址進行當前合約 fBNB 的授權。

攻擊者通過反復調用 depositInternal() 和 swapToSwap()就可以讓 FEGexPRO 合約將 fBNB 反復授權給攻擊者傳入的惡意合約 path 地址。其他地址轉走的代幣數量就是攻擊者第一次質押的代幣數量減去手續費的數量。通過查看 Debugger 中的信息，我們可以發現傳入的 path 地址參數都是攻擊流程中創建的合約地址。

在 16 日的攻擊之后，次日攻擊者又進行了一次攻擊，但更換了攻擊地址。

攻擊合約：0xf02b075f514c34df0c3d5cb7ebadf50d74a6fb17

攻擊者地址：0xf99e5f80486426e7d3e3921269ffee9c2da258e2

漏洞合約：0xa3d522c151ad654b36bdfe7a69d0c405193a22f9

BSC:0xe956da324e16cb84acec1a43445fc2adbcdeb0e5635af6e40234179857858f82

Ether:0c0031514e222bf2f9f1a57a4af652494f08ec6e401b6ae5b4761d3b41e266a59

由于 R0X 漏洞合約 0xa3d5 未開源，我們試著從 Debugger 中進行分析，發現和第一次的攻擊流程類似，但還用了 BUY() 輔助存入和 SELL() 函數進行輔助提取。

該次攻擊的主要原因是未驗證 swapToSwap() 函數中 path 地址參數，導致可以被攻擊者任意傳入使得 FEGexPRO 合約將自身代幣授權給攻擊者傳入的所有惡意 path 地址。建議合約在開發時要對所有傳入的參數進行校驗，不要相信攻擊者傳入的任何參數。

Tags：SWAPBNBNFTFEGStackswapbnb是傳銷組織嗎apenft幣太垃圾了DADDYFEG價格

FIL