以小博大，簡析 Sushi Swap 攻擊事件始末_SUSHI

By:??yudan@慢霧安全團隊

2020年11月30日，據慢霧區情報，以太坊AMM代幣兌換協議SushiSwap遭遇攻擊，損失約1.5萬美元。慢霧安全團隊第一時間介入分析，并以簡訊的形式分享，供大家參考。

背景提要

SushiSwap項目中SushiMaker合約的作用是用于存放SushiSwap中每個交易對產生的手續費。其中手續費會以SLP(流動性證明)的形式存放在合約中。SushiMaker合約中有一個convert函數，用于將從每一個交易對中收集的手續費通過調用各自交易對的burn函數獲得對應的代幣，然后將這些代幣轉換成sushi代幣，添加到SushiBar合約中，為SushiBar中抵押sushi代幣的用戶增加收益，而此次的問題就出在SushiMaker合約。

Gitcoin Passport與Galxe集成，用戶將可根據分數申請AntiSybilAssembly NFT:7月27日消息，Gitcoin Passport已與Web3社區活動平臺Galxe集成，用戶可于 7 月 31 日根據 Gitcoin Passport 的Unique Humanity分數申請AntiSybilAssembly NFTs，分數越高，獲得的紀念 NFT 就越豐厚，以集體抵御機器人和女巫攻擊。[2023/7/28 16:03:11]

攻擊流程

1、攻擊者選中SushiSwap中的一個交易對，如USDT/WETH，然后添加流動性獲得對應的SLP(USDT/WETH流動性證明，以下簡稱SLP)，使用獲得的SLP和另外的少量WETH創建一個新的SushiSwap交易對，然后得到新代幣池的SLP1(WETH/SLP(USDT/WETH)流動性證明，以下簡稱SLP1)轉入?SushiMaker合約中。

Alien.Fi宣布取消Xirtam項目IAO活動:4月26日消息，Arbitrum 生態 DEX AlienFi 在社交媒體上發文表示，其原定于 4 月 26 日啟動的 Xirtam 項目 IAO 活動已取消。據 AlienFi 提供的對話截圖和文字解釋稱，Xirtam 此前對 Alien.Fi 隱瞞了曾以 0.0125 美元完成過一輪種子輪銷售的事實，而這一價格約等于本次 IAO 價格的 30%。

AlienFi 補充表示，Xirtam 在知道事情瞞不住后拒絕給 Alien.Fi 用戶更低的 IAO 參與價格，并試圖刪除相關聊天記錄，AlienFi 及時截取屏幕以保留事實相關信息才成功將其公之于眾。[2023/4/27 14:29:08]

2、調用SushiSwap的convert函數，傳入的token0為第一步獲得的SLP，token1為WETH。調用convert函數后，SushiMaker合約會調用token0和token1構成的代幣池的burn函數燃燒SLP1，燃燒掉攻擊者在第一步中打入SushiMaker合約中的SLP1，得到WETH和SLP。

徐明星：OKBChain將于2023年Q1季度上線，完全獨立于OKXChain:金色財經報道，徐明星發推表示，新的OKB Chain將于第一季度上線，獨立于現有的 OKX Chain（OKC），將開始構建 OKB 去中心化生態，“需要說明的是，OKX Chain（OKC）是一條完全開放的社區共建的 PoS 鏈，OKB Chain則由OKX公司開發運營，這兩條鏈是完全分開的”。

受此消息影響，據歐易行情顯示，OKB持續拉升，突破49美元，連續創下歷史新高。[2023/2/16 12:10:17]

3、SushiMaker合約的convert函數緊接著會調用內部的_toWETH函數將burn獲得的代幣轉換成WETH，由于在第二步SushiMaker合約通過burn獲得了SLP和WETH。其中WETH無需轉換，只需轉換SLP。此時，轉換將會通過調用SLP/WETH交易對進行轉換，也就是攻擊者在第一步創建的交易對。由于SushiMaker合約在轉換時會將所有的balanceOf(token0)轉換成WETH，這里傳入的token0為SLP，于是合約將合約中所有的SLP通過SLP/WETH交易對進行兌換(兌換的SLP包含USDT/WETH交易對每次swap產生的收益和在第二步合約通過burn函數獲得的SLP)。而SLP/WETH代幣池是攻擊者創建的，攻擊者只需在初始化的時候添加少量的WETH，就可以在SushiMaker交易對進行兌換的過程中，用少量的WETH換取SushiMaker合約中對應交易對的所有的SLP。

歐洲央行監事會主席：歐盟需要共享加密資產規則:6月8日消息，歐洲央行監事會主席恩瑞亞表示，歐盟需要共享加密資產規則。[2022/6/8 4:10:15]

4、攻擊者使用burn函數在SLP/WETH交易對中燃燒掉自己的SLP1,拿到大量的SLP和小量的WETH，并繼續對其他流動性池重復該過程，持續獲利。

總結

攻擊者使用SLP和WETH創建一個新的代幣池，使用新代幣池的SLP1在SushiMaker中進行convert，使用少量的SLP將SushiMaker合約中的所有SLP轉到自己創建的代幣池中，即將對應交易對一段時間內的所有手續費收入囊中。并對其他交易對重復這個過程，持續獲利。

往期回顧

假錢換真錢，揭秘PickleFinance被黑過程

閃電貸+重入攻擊，OUSD損失700萬美金技術簡析

如何使用閃電貸從0撬動百萬美元？ValueDeFi協議閃電貸攻擊簡要分析

無中生有？DeFi協議Akropolis重入攻擊簡析

Acala創世已通過慢霧科技安全審計

慢霧導航

慢霧科技官網

https://www.slowmist.com/

慢霧區官網

https://slowmist.io/

慢霧?GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

幣乎

https://bihu.com/people/586104

知識星球

https://t.zsxq.com/Q3zNvvF

火星號

http://t.cn/AiRkv4Gz

鏈聞號

https://www.chainnews.com/u/958260692213.htm

Tags：SLPUSHIUSHSUSHIslp幣總量為什么增加了SUSHIBASafari CrushSUSHIBULL幣

XLM