BAN:Bancor安全事件分析：簡單漏洞引發50萬美元損失

一、事件簡述

2020-06-18(文中所提及時間均為UTC時間)，以太坊上的智能合約BancorNetwork被爆出存在嚴重漏洞。該漏洞由BancorNetwork團隊和白帽最先發現，并第一時間對存在被盜風險的資金進行了轉移，涉及資金50W余美元。

此次事件中，存在漏洞的合約地址主要有如下三個：

0x923cab01e6a4639664aa64b76396eec0ea7d3a5f

0x8dfeb86c7c962577ded19ab2050ac78654fea9f7

0x5f58058c0ec971492166763c8c22632b583f667f

2020-06-183:06:48，BancorNetwork團隊利用此漏洞對存在被盜風險的用戶資金進行轉移，截至2020-06-18?6:56，BancorNetwork團隊共計轉移資金約合$409,656。

另外兩個公開郵箱信息的地址:

0x052ede4c2a04670be329db369c4563283391a3ea

Mox Bank發言人回應疑凍結部分加密交易賬戶：對造成不便衷心致歉，檢視后可繼續使用:金色財經報道，香港虛擬銀行Mox Bank多位用戶反映旗下銀行賬戶在短時間內被數度凍結，有用戶分析此事或與近日Mox Bank對部分買賣加密貨幣客戶較敏感有關。對此，Mox Bank發言人回應稱：“我們一直重視所有客戶安全安心使用我們的服務，以及保障客戶權益。因此，我們根據既有的制度檢視個別客戶的賬戶，以作為我們保障客戶權益的措施之一。我們已通知受影響客戶有關賬戶因而暫時停止使用，完成檢視后，客戶將可繼續使用賬戶。我們對受影響客戶造成不便衷心致歉，并感謝所有客戶的耐心等待及體諒。”據悉，此前香港金管局回應稱已知悉該事件并要求Mox Bank做出適當跟進，確保客戶關注得到妥善處理。（fx168news）[2023/7/11 10:48:52]

0x1ad1099487b11879e6116ca1ceee486d1efa7b00

也于同一時間利用此漏洞對用戶資金進行轉移，分別轉出資金$131,889和$2346。

到目前為止：

EtherScan已經將存在此漏洞的合約進行標注，如下圖所示

Mark Cuban抨擊SEC的加密監管方法:金色財經報道，在最近的一條推文中，億萬富翁Mark Cuban批評了美國證券交易委員會的監管方式。Cuban敦促該機構發布“明線規定”，然后開放供討論。達拉斯小牛隊老板的評論是對《華爾街日報》最近由美國證券交易委員會主席加里·根斯勒撰寫的一篇專欄文章的回應。在該機構起訴區塊鏈公司Ripple 后，SEC的“執法監管”方法遭到抨擊。 Gensler表示，盡管這項技術很新穎，但證券法應該適用于加密貨幣資產。他將加密貨幣和汽車進行了比較，盡管汽車行業取得了進步，但汽車仍繼續使用基本的安全功能。?[2022/8/23 12:43:16]

圖一

BancorNetwork團隊也已對此次事件做出了回應，

詳情見

NFT Genius宣布完成400萬美元融資，Mark Cuban等參投:專注音樂的NFT市場NFT Genius宣布完成400萬美元的種子輪融資，Dapper Labs首席執行官Roham Gharegozlou、Mark Cuban、演員Ashton Kutcher和摩根溪創始人Anthony Pompliano等參與了本輪投資。（CoinDesk）[2021/6/14 23:36:08]

，

并于UTC時間2020-06-1721:35:53部署了新的BancorNetwork合約，合約地址為

0x2f9ec37d6ccfff1cab21733bdadede11c823ccb0

二、原理分析

漏洞爆出后，成都鏈安安全團隊第一時間對本次事件進行跟蹤分析，根據鏈上分析結果發現，此次事件中漏洞產生的主要原因是智能合約BancorNetwork存在一個調用權限為public的函數safeTransferFrom，通過調用此函數，可以將用戶授權給智能合約BancorNetwork的資金轉出到任意地址。

LBANK藍貝殼于3月16日20:00上線 USF，開放USDT交易:據官方公告，3月16日20:00，LBANK藍貝殼上線USF(Unslashed Finance)，開放USDT交易，3月16日18:00開放充值。

資料顯示，Unslashed Finance的發行總量為86,000,000，旨在區塊鏈上構建保險層。沒有去中心化保險，就不可能存在去中心化金融。[2021/3/15 18:46:20]

由源碼可以知，該函數為一個public函數，詳細代碼如下圖所示：

圖二

safeTransferFrom函數內部調用了execute函數。而execute函數的功能是調用safeTransferFrom參數中的_token代幣智能合約的transferFrom函數進行代理轉賬。execute函數源碼如下圖所示：

動態 | LBank與BitHD達成戰略合作伙伴關系:BitHD宣布與LBank達成戰略合作伙伴關系，LBank將加入“比特護盾多重簽名合作伙伴計劃”。BitHD團隊將基于LBank錢包的現有安全架構，為LBank提供深度的定制化錢包安全服務，特別是基于比特護盾全球獨家的ERC20的多重簽名解決方案，借此LBank的風險防范能力將進一步提高，從而保障平臺用戶數字資產安全。

比特護盾BITHD是比特派Bitpie錢包團隊出品的冷錢包品牌。“比特護盾多重簽名合作伙伴計劃”于2019年3月22日由比特護盾發起，旨在聯合各家項目方和交易所，共同推廣多重簽名理念，幫助行業內的企業了解、學習并逐步開始使用“冷錢包+多重簽名技術”。[2020/1/13]

圖三

我們通過一筆鏈上交易可以清晰的看到調用此函數的具體作用。如地址“0xc802”發起一筆交易，調用了智能合約“0x5f58”的safeTransferFrom函數，使地址”0x8a39”中的0.000000000000000003代幣MFG發送到”0x2955”，具體如下圖所示：

圖四

以上就是本次事件漏洞的原理分析，該漏洞的原理十分簡單，是因為函數的調用權限設置錯誤，將本應該只有合約本身調用的函數，設置成了任何人都可以調用。而當BancorNetwork擁有用戶的授權額度時，任何人都可以通過調用safeTransferFrom函數，以BancorNetwork的身份對用戶的資金進行代理轉賬。

針對該漏洞，有兩點值得我們進行深入分析：

1.?為什么BancorNetwork合約的safeTransferFrom函數會將權限設置成public。

2.?BancorNetwork合約的主要功能是代幣轉換，并非一個錢包，為什么用戶會有未使用的授權。

對于第一個問題，我們追蹤了safeTransferFrom函數的調用情況，發現safeTransferFrom函數只在handleSourceToken函數中被調用，用于將用戶的代幣轉移到本合約中。handleSourceToken函數源碼如下圖所示：

圖五

既然只是在handleSourceToken函數中調用，那么顯然是沒有必要設置成public權限，且根據業務來看，BancorNetwork的主要作用是用于代幣交換，并不需要用戶主動調用safeTransferFrom，也就沒有必要將safetransferFrom設置為public權限。于是我們對比了合約中其他的幾個函數，這幾個函數均被設置成了public權限。如下圖所示：

圖六

由此，針對第一個問題，我們推測將這些函數設置為public權限可能是因為合約開發人員的疏忽。而目前來看，BancorNetwork團隊新部署的合約也驗證了這個推測。根據鏈上代碼顯示，官方部署的新合約已經將相關函數權限全部進行了更改。具體代碼如下圖所示：

圖七

針對第二個問題，我們跟蹤了漏洞爆出后被轉移資金的地址，發現這些地址在對BancorNetwork授權額度時，往往超過了所需要兌換代幣的數量，且在兌換完成后，并沒有收回額度。如下圖所示：

圖八

“0x624f”開頭的地址對BancorNetwork合約授權了900000000000000個ONG代幣，此額度已經超過了ONG的發行量，相當于將“0x624f”所擁有的ONG代幣全部授權給BancorNetwork合約。而跟蹤“0x624f”開頭地址的交易我們發現，在進行完代幣兌換后，未使用完所有授權額度，但并未將授權額度收回。

綜上所述，我們推測可能是用戶考慮到要隨時使用，為了方便，一次性將所有代幣都授權給了BancorNetwork合約。也可能是BancorNetwork的前端對授權金額設定了默認值。但這種行為存在巨大的風險，一旦智能合約爆發漏洞，資金極易被攻擊者竊取。而在對后續新的BancorNetwork合約進行分析時發現，BancorNetwork團隊和用戶似乎也意識到了此問題存在的巨大風險，并做出了相應的安全防護。如下圖九、十為用戶對新合約的授權情況，對比兩筆線上交易不難看出，兩次授權的時間間隔很短，當用戶成功兌換完代幣后，剩余授權即被收回。

圖九

圖十

三、結語

BancorNetwork本次爆出的漏洞，是一個較為簡單的漏洞，此類漏洞在代碼審計過程中十分容易被發現，但此次漏洞的影響卻很大，上線僅兩天，涉及的資金就已經超過50w美元。幸而BancorNetwork團隊及時發現并修復了漏洞，否則后果不堪設想。成都鏈安-安全研究團隊在此提醒各大智能合約運營商，因區塊鏈合約部署后不可更改的特性，對比傳統軟件，上線前做好充分的代碼審計十分重要，此次事件雖未造成太大的經濟損失，但勢必會讓用戶對BancorNetwork團隊產品的安全性產生質疑。另外也提醒廣大用戶和運營商，在授權資金給第三方合約時，都應保持謹慎，切不可盲目相信“大公司”，對任何合約的授權都應當秉承最小原則，不要使自己的資金安全掌握在他人手中。

Tags：BANANCCORNETWBancacyDelfino FinanceAcorn ProtocolCNCB Network

幣安幣