FUR:慢霧：Furucombo被黑分析

著名 DeFi 項目 Furucombo 被黑，損失超 1500 萬美元。慢霧安全團隊第一時間介入分析，并將攻擊細節分享給大家。

本次發生問題的合約在 Furucombo 本身的代理合約當中。整個攻擊流程很簡單。攻擊者通過設置了 Furucombo 的 AaveV2 Proxy 的邏輯地址導致后續通過 Furucombo 代理合約調用的邏輯全部轉發到攻擊者自己的惡意合約上，導致任意資金被盜。

但是如果事情那么簡單，那么本次分析不值一提。問題遠比想象的復雜得多。

慢霧：攻擊Ronin Network的黑客地址向火幣轉入3750枚 ETH:3月30日消息，慢霧發推稱，攻擊Axie Infinity側鏈Ronin Network的黑客地址向交易所火幣轉入3750枚ETH。此前金色財經報道，Ronin橋被攻擊，17.36萬枚ETH和2550萬USDC被盜。[2022/3/30 14:26:38]

如上圖所示攻擊者的入口在 Furucombo 的 batchExec 函數，我們先對 batchExec 函數進行分析：

以上是 Furucombo Proxy 合約的 batchExec 函數的具體實現，其中 _preProcess 和 _postProcess 合約分別是對調用前后做一些數據上的處理，不涉及具體的調用邏輯，這邊可以先忽略。我們主要觀察核心的 _execs 函數：

慢霧：Crosswise遭受攻擊因setTrustedForwarder函數未做權限限制:據慢霧區情報，2022年1月18日，bsc鏈上Crosswise項目遭受攻擊。慢霧安全團隊進行分析后表示，此次攻擊是由于setTrustedForwarder函數未做權限限制，且在獲取調用者地址的函數_msg.sender()中，寫了一個特殊的判斷，導致后續owner權限被轉移以及后續對池子的攻擊利用。[2022/1/19 8:57:48]

通過對 execs 代碼的分析不難發現，函數的主要邏輯是對 configs 數組的數據做檢查，并根據 configs 數組的數據對 data 進行一些處理。但是回顧上文中攻擊者的調用數據，不難發現攻擊者的調用數據中，configs 的數據是一個 0 地址：

動態 | 慢霧：9 月共發生 12 起較典型的安全事件，供應鏈攻擊趨勢愈發明顯:過去的 9 月區塊鏈生態共發生 12 起較典型的安全事件，包括：EOSPlay 遭受新型隨機數攻擊、資金盤項目 FairWin 智能合約權限管理缺陷、EOS 黑名單賬號 craigspys211 利用新晉 BP 黑名單缺陷轉移走 19.999 萬枚 EOS 等典型安全事件。此外，慢霧區塊鏈威脅情報(BTI)系統監測發現，針對區塊鏈生態的供應鏈攻擊越來越多，形如：去年 11 月慢霧披露的污染 NPM 模塊 EventStream、今年 7 月披露的對數字貨幣錢包 Agama 構建鏈的攻擊、今年 8 月披露的針對數字貨幣行情/導航站的 URL 劫持攻擊，還有 9 月慢霧披露的針對交易所使用的第三方統計、客服 js 的惡意代碼植入，進行實施盜幣攻擊。[2019/10/1]

分析 | 慢霧：攻擊者拿下了DragonEx盡可能多的權限 攻擊持續至少1天:據慢霧安全團隊的鏈上情報分析，從DragonEx公布的“攻擊者地址”的分析來看，20 個幣種都被盜取（但還有一些DragonEx可交易的知名幣種并沒被公布），從鏈上行為來看攻擊這些幣種的攻擊手法并不完全相同，攻擊持續的時間至少有1天，但能造成這種大面積盜取結果的，至少可以推論出：攻擊者拿下了DragonEx盡可能多的權限，更多細節請留意后續披露。[2019/3/26]

這里有一個 trick，由于 0 地址是一個 EOA 地址，所有對 EOA 地址的函數調用都會成功，但是不會返回任何結果。結合這個 trick，execs 函數中的關于 configs 數據的部分可以先暫時忽略。直接看到最后的核心 _exec 函數：

聲音 | 慢霧：采用鏈上隨機數方案的 DApp 需緊急暫停:根據近期針對EOS DApp遭遇“交易排擠攻擊”的持續性威脅情報監測：EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陸續被攻破，該攻擊團伙（floatingsnow等）的攻擊行為還在持續。在EOS主網從根本上解決這類缺陷之前，慢霧建議所有采用鏈上隨機數方案的DAPP緊急暫停并做好風控機制升級。為了安全起見，強烈建議所有競技類DAPP采用EOS官方很早就推薦的鏈下隨機種子的隨機數生成方案[2019/1/16]

_exec 函數的邏輯也很簡單，在校驗了 _to 地址后，直接就將 data 轉發到指定的 _to 地址上了。而通過對攻擊交易的分析，我們能發現這個 _to 地址確實是官方指定的合法地址。

最后一步，便是調用 _to 地址，也就是官方指定的 AaveV2 Proxy 合約的 initialize 函數，將攻擊者自己的惡意地址設置成 AaveV2 Proxy 合約的邏輯地址。通過對 Furucombo 合約的分析，可以發現整個調用流程上沒有出現嚴重的安全點，對調用的地址也進行了白名單的檢查。那么問題只能是出在了對應要調用的代理邏輯上，也就是 AaveV2 Proxy 合約。

我們直接分析 AaveV2 Proxy 合約的 initialize 函數的邏輯：

可以看到 initialize 函數是一個 public 函數，并在開頭就檢查了 _implementation 是否是 0 地址，如果是 0 地址，則拋出錯誤。這個檢查的目的其實就是檢查了 _implementation 是否被設置了，如果被設置了，就無法再次設置。根據這個設置，不難想出 initialize 這個函數只能調用一次。除非 AaveV2 Proxy 從來沒有設置過 _implementation，否則這個調用是不會成功的。難道 Furucombo 真的沒有設置過對應的 _implementation 嗎？帶著這樣的疑問，我們檢查了交易內的狀態變化。如下：

可以看到，交易中改變了存儲位置為 0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc 的內容，而寫入的內容正是攻擊者自己的惡意合約地址 0x86765dde9304bea32f65330d266155c4fa0c4f04。

而 0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc 這個位置，正是 _implementation 數據的存儲地址。

也就是說，官方從來沒有設置過  AaveV2 Proxy 合約的 _implementation 地址，導致攻擊者鉆了這個空子，造成了 Furucombo 資產損失。

通過對整個事件的分析來看，Furucombo 此次事故并不在安全漏洞的范疇內，主要的原因在于官方將未啟用的  AaveV2 Proxy 合約添加進了自己的白名單中，并且未對 AaveV2 Proxy 合約進行初始化，導致攻擊者有機可乘。

目前，由于 Furucombo 遭受攻擊，導致任何將代幣授權過給 Furucombo 合約 (0x17e8ca1b4798b97602895f63206afcd1fc90ca5f) 的用戶都將面臨資金損失的風險。

慢霧安全團隊建議與 Furucombo 交互過的用戶檢查是否有將相關代幣授權給 Furucombo 合約。如有授權，應及時撤銷相關授權，避免進一步損失。

Tags：FURCOMUCOCOMBFURYX價格COMFI價格kucoin交易所對比COMBI

中幣下載