By:慢霧安全團隊
據慢霧區消息,2021年07月17日,DeFi收益聚合器PancakeBunny在Polygon上的版本遭受閃電貸攻擊,慢霧安全團隊第一時間介入分析,并將結果分享如下。
值得注意的是本次攻擊與5月20日PancakeBunny在幣安智能鏈上的版本遭受的閃電貸攻擊類似。此前慢霧安全團隊也進行了簡要分析,具體可查看:代幣閃崩,差點歸零-PancakeBunny被黑簡析。
攻擊細節分析
首先攻擊者從AAVE中閃電貸借出大量的USDC、USDT、WETH代幣,并將借來的USDC與USDT代幣轉入SushiSwap中添加流動性以獲得SLP。
隨后攻擊者進行了本次攻擊最為關鍵的操作:將添加流動性獲得的LP的一小部分抵押至VaultSushiFlipToFlip合約中,為獲得polyBUNNY代幣獎勵做準備。而其余大部分LP都抵押到MiniChefV2中,并將存款收益地址指定為VaultSushiFlipToFlip合約。
接下來為了減少攻擊成本,使用借來的100,000個WETH代幣,在QuickSwap中將其兌換成WMATIC代幣(在后面的分析將會說明為何這樣會減少攻擊成本)
隨后攻擊者調用了VaultSushiFlipToFlip合約的withdrawAll函數,以獲取抵押的SLP與polyBUNNY代幣獎勵。我們切入此函數進行具體分析:
NFT平臺Universe已停止開發,將在GitHub公開源代碼:6月2日消息,DefiLlama 創始人 0xngmi 發推表示,在查看一些 NFT 市場時發現 NFT 平臺 Universe 上個月關閉了,現在網站已經變成報錯頁面。而 Universe 在 5 月 17 日發推表示,項目將在 5 月停止開發(但任何人都可以接手),并且所有未公開源代碼的內容將會在 GitHub 上公開。[2023/6/2 11:54:32]
在上圖代碼第162行與163行,分別通過balanceOf函數與principalOf函數獲取攻擊者抵押憑證換算成用戶通過VaultSushiFlipToFlip合約在MiniChefV2中抵押的SLP數量以及用戶在VaultSushiFlipToFlip合約中抵押時記錄的SLP數量。理論上這兩個數量不應相差太多,但通過分析balanceOf函數我們發現:其是通過balance函數獲取VaultSushiFlipToFlip合約在MiniChefV2中抵押的SLP數量與用戶持有的憑證占比相乘得到amount的。
由于攻擊者已提前將大量的SLP未通過VaultSushiFlipToFlip合約直接在MiniChefV2合約中抵押并將受益地址指給VaultSushiFlipToFlip合約,因此balance函數將會獲取到一個比預期大得多的值,而攻擊者的憑證占比卻又是正常的,最后導致賦給amount的是個比預期大得多的值。這就直接導致了在上圖代碼第176行計算出的performanceFee參數是個非預期的巨大值。
Web3游戲平臺kytokyo與ImmutableX合作:金色財經報道,新加坡游戲公司Storms今天宣布與ImmutableX建立合作關系,作為其即將推出的Web3游戲平臺kyjake的第二層解決方案。
ImmutableX將為kyyo提供Web3基礎設施,通過其ZK-rollup技術實現快速而安全的擴展,而kyyo也讓目前受Web 2.0發行經濟限制的傳統游戲開發商更容易通過kyyo平臺整合和發行他們的游戲。(prnewswire)[2022/10/28 11:50:26]
隨后將此異常的performanceFee參數傳入mintForV2函數中參與鑄造polyBUNNY代幣獎勵的計算,我們切入此函數進行分析:
我們可以發現其通過調用mintFor函數進行具體的邏輯處理,首先在上圖代碼第205行將SLP發送給Pair合約,為后續移除流動性做準備。由于shouldMarketBuy函數最終價格比較計算為false,因此將通過if邏輯調用_zapAssets函數。我們切入_zapAssets函數繼續分析:
在_zapAssets函數,由于asset為SLP因此將通過elseif邏輯先通過調用SushiSwapRouter合約的removeLiquidity函數進行移除流動性,隨后通過_tokenToAsset函數將移除流動性獲得USDC與USDT代幣分別在QuickSwap中兌換成polyBUNNY與WETH代幣并在QuickSwap中添加流動性。接下來我們對_tokenToAsset函數進行分析:
ARK Invest宣布推出ARK Venture Fund:金色財經報道,ARK Invest宣布推出ARK Venture Fund,一個受監管的公共基金,投資于創新的私營和上市公司,所有美國投資者都可以在 Titan 應用程序上訪問它。
ARK Venture Fund 是一個積極管理的常青交叉基金,投資于專注于技術創新的私營和上市公司,并有選擇地投資于其他風險投資 (VC) 基金。重要的是,最低投資額僅為500 美元,任何美國個人投資者都可以通過 Titan 應用程序立即投資該基金,而無需遇到資格或認證門檻。[2022/9/27 22:34:35]
通過簡單分析我們可以發現,其將通過if邏輯直接調用zapPolygon合約的zapInToken函數,這里不再贅述判斷條件的分析。接下來跟進zapInToken函數分析:
同樣通過對判斷條件的簡單分析,我們可以指定其將通過上圖代碼第133行進入else邏輯,接下來調用_swapTokenForMATIC函數通過下圖代碼第221行if邏輯設定的代幣兌換路徑“USDC->WETH->WMATIC",USDT代幣的兌換路徑同樣如此。
由于在此之前,攻擊者已經使用借來的100,000個WETH代幣在QuickSwap中通過“WETH->WMATIC”將其兌換成大量的WMATIC代幣,所以上述通過“USDC/USDT->WETH->WMATIC”路徑兌換到的WMATIC代幣變得很少,因此接下來通過_swapMATICToFlip函數將WMATIC代幣兌換成的WETH與polyBUNNY代幣就會較少,導致最后轉給BUNNY_POOL的LP會較少,達到減少消耗攻擊者付出的SLP目的,最終減少了一部分攻擊成本。
分析師:比特幣有可能已經觸底并準備好反彈:金色財經消息,加密貨幣分析師Micha?l van dePoppe表示,比特幣將在2萬美元以下進行短暫調整,之后將可能反彈至3萬美元。Poppe強調,要實現反彈目標,比特幣的市值需要保持200周移動平均線并保持在1.9萬美元以上。此外,Poppe 還指出,由于比特幣停留在1.91萬美元和2.1萬美元之間,這可能導致“流動性搶奪”低于該水平。如果要繼續任何反彈,比特幣需要突破2.04萬美元并瞄準2.15萬美元。(Finbold)[2022/9/5 13:09:23]
接下來我們再看mintFor函數,在完成上述一系列操作后,將通過amountBunnyToMint函數計算需要鑄造的polyBUNNY代幣數量,而通過下圖我們可以看出參與計算的contributionInETH參數來自于priceCalculator合約的valueOfAsset函數,但valueOfAsset函數接收的參數卻是我們先前所說的_performanceFee參數,這是一個非預期的巨大值。
我們可以對valueOfAsset函數進行簡單的分析:
由于asset是SLP,因此將通過上圖代碼第155行調用_getPairPrice函數,通過對此函數進行分析我們可以發現,參與價格獲取的途徑都為可信的預言機,因此攻擊者無法直接操控預言機進行攻擊。但由于參與計算的amount即_performanceFee是個非預期的巨大值,因此最終通過乘法計算得出的valueInETH與valueInUSD都是非預期的巨大值。
美聯儲副主席布雷納德:波動性暴露出嚴重的加密貨幣漏洞:7月8日消息,美聯儲副主席布雷納德表示:波動性暴露出嚴重的加密貨幣漏洞,現在需要建立加密金融系統的健全監管基礎,不能等到加密貨幣生態系統變得如此龐大和相互關聯,以至于可能帶來金融穩定風險。加密貨幣活動需要按照類似風險、類似監管結果的原則進行監管,還必須解決與新技術有關的新風險。強有力的監管將使投資者和開發商能夠建立一個有彈性的數字原生金融基礎設施,重要的是監管機構在國內和國際上致力于維護金融系統的穩定和解決逃避監管的問題,加密平臺極易受到去杠桿化、拋售和情緒傳染的影響。現在是時候確定哪些加密活動以及在哪些約束條件下是被監管實體允許的。加密貨幣還沒有大到足以構成系統性風險,美聯儲密切關注加密貨幣領域的近期事件,央行數字貨幣(CBDC)可能對金融穩定有好處。[2022/7/8 2:00:57]
隨后會將獲得的非預期的contributionInETH參數傳入amountBunnyToMint函數進行鑄幣數量計算。
而這里的priceOfETH與priceOfBunny都取自可信的ChainLink與官方自行喂價的預言機,因此最終經過乘法計算后,得到的鑄幣數量mintBunny是個非預期的巨大值。導致最終攻擊者獲得了大量的polyBUNNY代幣獎勵。
攻擊流程
1.攻擊者在AAVE閃電貸借出USDT/USDC/WETH代幣,并在SushiSwap中添加流動性獲得SLP。
2.將大部分的SLP轉入MiniChefV2中并將受益地址指定給VaultSushiFlipToFlip合約,小部分抵押到VaultSushiFlipToFlip合約中。
3.由于攻擊者的大部分抵押到MiniChefV2中的SLP受益地址指定給VaultSushiFlipToFlip合約,導致VaultSushiFlipToFlip獲取到錯誤的balanceOf造成performanceFee變成一個非預期的巨大值。
4.最終鑄造polyBUNNY代幣獎勵使用了此非預期的performanceFee參數,導致額外鑄造了大量的polyBUNNY代幣給攻擊者。
5.最后攻擊者拋售polyBUNNY代幣,歸還閃電貸,獲利走人。
總結
****
此次攻擊與第一次不同的點在于:并非是預言機被操控導致鑄幣數量錯誤,而是VaultSushiFlipToFlip合約獲取在MiniChefV2中抵押的抵押品數量時,錯誤地獲取了攻擊者未通過VaultSushiFlipToFlip抵押的抵押品數量,導致參數鑄幣的參數異常。最終鑄造出額外的polyBUNNY代幣。
****
參考交易鏈接:
https://polygonscan.com/tx/0x25e5d9ea359be7fc50358d18c2b6d429d27620fe665a99ba7ad0ea460e50ae55
往期回顧
科普|加密貨幣詐騙,你中招了嗎?(上)
假幣的換臉戲法——技術拆解THORChain跨鏈系統“假充值”漏洞
強扭的瓜不甜——SafeDollar被黑分析
“不可思議”的被黑之旅——ImpossibleFinance被黑分析
走過最長的路,竟是自己的套路——Alchemix事件分析
慢霧導航
慢霧科技官網
https://www.slowmist.com/
慢霧區官網
https://slowmist.io/
慢霧GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
幣乎
https://bihu.com/people/586104
知識星球
https://t.zsxq.com/Q3zNvvF
火星號
http://t.cn/AiRkv4Gz
鏈聞號
https://www.chainnews.com/u/958260692213.htm
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
本文來源于非小號媒體平臺:
慢霧科技
現已在非小號資訊平臺發布68篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/10171120.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
巨鯨的資金涌向哪里,哪里就是熱點!
Tags:UNNBUNBUNNYUSHBunnyTokenBugs Bunny TokenPOLYBUNNY價格3X Long Sushi Token
鏈聞消息,總部位于英國倫敦的資產管理公司JackdawCapital宣布將啟動FintechFund2期基金,基金規模突破1億美元.
1900/1/1 0:00:00親愛的安銀小伙伴, AEXASwap將于2021年07月16日18:00正式開啟“AEX暖心福利來襲,邀您瓜分88,888GAT獎勵”活動.
1900/1/1 0:00:00自Gate.io流動性礦池上線以來,廣受用戶歡迎。參與流動性挖礦的用戶除100%手續費收益外,還可以額外瓜分Gate.io獎勵池獎金.
1900/1/1 0:00:00積分商城是ZT為用戶提供的福利專區,用戶完成任務后可獲得對應獎勵。商城積分是ZT推出的一項平臺福利積分,用戶通過在ZT平臺參加每日簽到等相關任務就可以獲得商城積分,商城積分可在積分商城中兌換相應.
1900/1/1 0:00:00Square首席執行官JackDorsey表示,該公司正在建立一個新的部門,將專注于構建使用比特幣的去中心化金融服務.
1900/1/1 0:00:00本文來自Glassnode,原文作者:LukePoseyOdaily星球日報譯者|Moni就現階段而言,數字貨幣市場似乎進入到了橫盤調整期.
1900/1/1 0:00:00