USD:OneRing Finance閃電貸攻擊事件分析

前言

北京時間2022年3月22日，知道創宇區塊鏈安全實驗室?監測到Fantom生態穩定幣收益優化器OneRingFinance遭到閃電貸攻擊，黑客竊取逾145萬美元。

分析

攻擊事件如下圖所示，該次攻擊事件的問題點在于OneRingFinance直接使用交易對中的reserves來實時進行OShare的價格計算，攻擊者通過Swap操作提高reserves的量，最終拉升OShare的價格，獲取更多的資金。

基礎信息

攻擊合約：0x6A6d593ED7458B8213fa71F1adc4A9E5fD0B5A58

攻擊者地址：0x12EfeD3512EA7b76F79BcdE4a387216C7bcE905e

攻擊tx：0xca8dd33850e29cf138c8382e17a19e77d7331b57c7a8451648788bbb26a70145

Web3預言機服務提供商Redstone完成天使輪融資，Polygon聯創Sandeep Naiwal等參投:金色財經報道，Web3 預言機服務提供商 Redstone 宣布已完成一筆天使輪融資，Polygon 聯創 Sandeep Naiwal、Alex Gluchovski、Emin Gün Sirer、Stani Kulechov 等多位 Web3 行業領導者參投，但具體融資金額暫未披露，新資金將用于旗下模塊化喂價數據產品開發、以及跨鏈擴張。RedStone 目前為包括以太坊、Avalanche 和 Polygon 在內的 30 多個區塊鏈提供數據喂價，該公司曾在去年 8 月完成 700 萬美元種子輪融資，Coinbase Ventures、Blockchain Capital 等多家機構參投。[2023/5/23 15:20:40]

漏洞合約：0xc06826f52f29b34c5d8b2c61abf844cebcf78abf

庫幣Pool-X平臺開啟Harmony(ONE) 持倉返利:據官方消息，庫幣Pool-X平臺即將開啟Harmony（ONE）?持倉返利活動，用戶只需充值/劃轉Harmony（ONE）到Pool-X賬戶即可。詳情點擊原文鏈接。[2020/7/30]

流程

攻擊者的核心攻擊流程如下：

攻擊者從USDC/MIM交易對中閃電貸借出8000W的USDC到攻擊合約中。

2.攻擊者使用swap把1USDC兌換成1.001miMATIC。

3.使用depositSafe存入79999997的USDC。

4.合約mint給攻擊者41965509OShare，此時攻擊者還有2USDC和1.001miMATIC。

5.攻擊者將2USDC和0.326miMATIC添加流動性，獲得7.82x10-7spLP。

動態 | Monex Group與東京大學合作，為日本AI和區塊鏈領域工程師和開發人員提供培訓:Monex Group支持日本AI和區塊鏈領域工程師和開發人員的培訓。東京大學的公司贊助研究項目“AI解決方案的信息經濟學（Information Economics For AI Solutions）”是與日本在線經紀公司Monex Group合作舉辦的公開講座，將從2019年9月開始。作為項目的一部分，東京大學正主辦一場旨在培養信息通信技術（ICT）工程師的AI編程競賽“拜占庭帝國的抱負”。 該項目網站稱，AI解決方案是通過將AI技術（包括機器學習和深度學習）與ICT技術（包括云服務、區塊鏈、物聯網和移動技術）相結合而產生。該網站表示，從事AI和區塊鏈開發和應用的工程師短缺。該項目旨在通過舉辦此類活動來培養這些工程師。[2019/8/18]

6.將41965509的OSharewithdraw兌換成81534750的USDC。

分析 | HackerOne的安全漏洞報告導致門羅幣價格大跌:據AMBCrypto消息，本周早些時候HackerOne在報告中指出門羅幣存在安全漏洞。門羅幣回應稱安全漏洞在四個月前就被披露，同時提供了補丁；目前沒有此類漏洞存在。 隨著對門羅幣隱私和網絡安全漏洞的日益關注，社區有理由擔心，同樣的情況也反映在價格上。在1月底達到120美元高位后，安全漏洞報告將XMR一度拉低至82美元以下。截至發稿時為92.85美元。XMR在7天內下跌了23.3%。 Adamant Capital創始合伙人Tuur Demeester對XMR的價格表現提出質疑，并繪制了XMR/BTC的圖表，同樣顯示出大幅下跌。Bull Bitcoin首席執行官Francis Pouliot認為，比特幣的隱私，特別是由于CoinJoin交易以及流動性（在他看來這是隱私的重要組成部分）推動了比特幣領先于其他競爭對手，盡管后者是小眾運營商。[2019/7/6]

7.移除流動性獲取0.790USDC和0.862miMATIC。

聲音 | 趙長鵬：幣安將凍結任何可識別的DragonEx被盜資金:幣安創始人趙長鵬剛剛發推表示：有人問到DragonEx的事情，和往常一樣，幣安將凍結任何可識別的被盜資金。這一次沒有多少資金流入幣安，黑客學聰明了，幣安系統能夠識別大多數外部交換地址。[2019/3/27]

8.把1.501miMATIC兌換成1.433USDC。

9.歸還8000WUSDC和80080USDC的手續費，最凈獲得?1534750-80080=1454670?USDC

細節

攻擊者在攻擊之前通過CelerNetwork的cBridge跨鏈獲得了發起攻擊所需的gas。

通過流程第二步我們可以看出當時USDC和miMATIC的兌換率為約1:1.001，而通過流程第三步和第四步的?swap?后可以在第五步中看到USDC和miMATIC的兌換率變成了約1:0.163，所以我們需要重點分析?deposit?函數和?withdraw?中計算價格的問題。

分析交易的Debugger，可以看到調用的是?depositSafe?函數。

查看?depositSafe?函數，其內部會調用?_deposit?函數，繼續跟進，發現在?_deposit?函數中又調用了?_doHardWorkAll?函數，最后?mint?OShare給攻擊者。

而在?_doHardWorkAll?函數中使用了for循環將部分存入的USDC全部兌換成其他的代幣。

執行此次?depositSafe?函數時?getSharePrice?計算的OShare價格為?1062758591235248117。

接下來我們看下?getSharePrice?函數的代碼，在?getSharePrice?函數中調用了?balanceWithInvested?函數，而在?balanceWithInvested?函數中又調用了?investedBalanceInUSD?函數。

繼續跟進，investedBalanceInUSD?函數是在合約?MasterChefBaseStrategy?中，其合約地址為：https://ftmscan.com/address/0xdbc07e219ba0cb5fddcd0fa0c5cc1eddfb77e082#code

investedBalanceInUSD?函數返回的是?getUSDBalanceFromUnderlyingBalance?函數，在?getUSDBalanceFromUnderlyingBalance?函數中可以發現合約使用兩個代幣的數量進行計算，而前面攻擊者由于閃電貸存入了大量的USDC，從而使得最終的?_amount?的值也變大了。再次回到?getSharePrice?函數中就可以發現，_sharePrice?也會相應變大。

流程第六步使用了?withdraw?函數。

在?withdraw?函數中我們發現同樣調用了?getSharePrice?計算OShare價格，在該階段為?1136563707735425848，OShare的價格的確變大了，而最終的取款數量是通過內部調用?_withdraw?函數計算得到的。

_withdraw?函數中最終取款的值為?_realWithdraw，而?_realWithdraw=_toWithdraw.mul(uint256(10)**uint256(ERC20(_underlying).decimals())).div(uint256(10)**uint256(decimals()));，所以我們再看到?_toWithdraw，發現其值同樣是由?balanceWithInvested?計算得到的，所以這就會導致最終將OShare兌換成USDC變多。

總結一下：

USDC↑->_amount↑->getUSDBalanceFromUnderlyingBalance(_underlyingBal)↑->investedBalanceInUSD()↑->balanceWithInvested()↑->_sharePrice↑

USDC↑->_amount↑->getUSDBalanceFromUnderlyingBalance(_underlyingBal)↑->investedBalanceInUSD()↑->balanceWithInvested()↑->_toWithdraw()↑->_realWithdraw()↑

后續處理

針對此次攻擊，OneRingFinance團隊采取了四種補救措施，包括暫停保險庫，分析、調試、修復漏洞，通過財政庫還款，以及提供漏洞賞金。

保險庫狀態：保險庫已暫停，OneRingFinance團隊正在努力重新設置。

分析、調試、修復：OneRingFinance團隊已工作了很多小時，來修復允許黑客執行這次攻擊的問題，團隊已與許多合格開發者、協議合作，以查漏協議中所有的代碼，協議有漏洞是完全出乎意料的，甚至對一些高級開發人員來說也是如此，因為他們以前審查過OneRingFinance的代碼。

通過協議財政部還款：該團隊正在制定一項計劃，為受影響的人提供具體的中長期還款計劃。

賞金：團隊將提供被盜資金的15%以及100萬RING代幣，作為黑客返還資金的賞金。

總結

該次攻擊事件是由于項目使用實時儲備量來計算價格導致攻擊者通過閃電貸借出大量USDC并存入使得儲備量增大拉升OShare價格造成差值從而獲利。

Tags：USDANCNCEUSDCgusd幣在哪個平臺Provenance BlockchainZCore FinancePCUSDC幣

XLM