比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

慢霧分析Cream被盜1.3億美金始末:利用借貸池缺陷,惡意操控價格_USD

Author:

Time:1900/1/1 0:00:00

作者:Kong,慢霧安全團隊

據慢霧消息,2021年10月27日,CreamFinance?再次遭受攻擊,損失約1.3億美金,慢霧安全團隊第一時間介入分析,并將簡要分析分享如下。

攻擊核心

本次攻擊的核心在于利用Cream借貸池對抵押物價格獲取的缺陷,惡意操控拉高了其抵押物的價格,使得攻擊者可以從Cream借貸池借出更多的代幣。

攻擊細節

首先攻擊者從DssFlash中閃電貸借出5億個DAI,隨后將借出的5億個DAI抵押至yearn的yDAI池中,以獲得約4.5億個yDAI憑證。

隨后攻擊者將獲得的yDAI代幣在Curve的yDAI/yUSDC/yUSDT/yTUSD池子中進行單幣流動性添加,以獲得相應的流動性憑證。緊接著攻擊者就將獲得的憑證抵押到yvWBTC池子中以獲得yUSD憑證,為后續在CreamcrYUSD借貸池中抵押做準備。

動態 | 慢霧:Cryptopia被盜資金發生轉移:據慢霧科技反洗錢(AML)系統監測顯示,Cryptopia攻擊者分兩次轉移共20,843枚ETH,價值超380萬美元。目前資金仍停留在 0x90d78A49 和 0x6D693560 開頭的兩個新地址,未向交易所轉移。據悉,今年早些時候加密貨幣交易所Cryptopia遭受了黑客攻擊,價值超過1600萬美元的以太坊和ERC-20代幣被盜。[2019/11/17]

之后攻擊者開始向Cream的crYUSD借貸池中抵押其獲得yUSD憑證,為了擴大其抵押規模,攻擊者從AAVE閃電貸借出約52.4萬個WETH,并將其抵押到Cream的crETH池子中。

攻擊者通過在crETH池子中抵押大量ETH,來使得其有足夠的借貸能力將crYUSD池子中的yUSD全部借出并重復抵押到crYUSD池子中,隨后通過在crYUSD池子中進行循環貸以杠桿的形式擴大了本身在crYUSD池子中yUSD的抵押規模,為后續操控價格獲利做準備。

動態 | 慢霧區發布XRP假充值漏洞預警:據慢霧區披露,瑞波幣(XRP)存在假充值漏洞(類似于之前披露的 USDT 及以太坊代幣假充值漏洞),已有真實攻擊在發生,一旦攻擊成功,會非常嚴重。[2018/7/30]

隨后為了獲得yDAI/yUSDC/yUSDT/yTUSD4Pool憑證以操控價格,攻擊者用約1,873個ETH從UniswapV3中兌換出約745萬個USDC,并通過Curve3Pool將其兌換成DUSD代幣約338萬個。

接下來攻擊者通過獲得的DUSD代幣從YVaultPeak中贖回yDAI/yUSDC/yUSDT/yTUSD4Pool憑證,并利用此憑證從yUSD(yvWBTC)池子中取回yDAI/yUSDC/yUSDT/yTUSD代幣。

隨后攻擊者開始進行此次攻擊的關鍵操作,其將約843萬個yDAI/yUSDC/yUSDT/yTUSD代幣直接轉回yUSD池子中,由于其不是通過正常抵押操作進行抵押的,所以這843萬個yDAI/yUSDC/yUSDT/yTUSD代幣并沒有被單獨記賬,而是直接分散給了yDAI/yUSDC/yUSDT/yTUSD憑證的持有者,這相當于直接拉高了其share的價格。

分析 | 慢霧安全團隊提醒|EOS假賬號安全風險預警:根據IMEOS報道,EOS 假賬號安全風險預警,慢霧安全團隊提醒:

如果 EOS 錢包開發者沒對節點確認進行嚴格判斷,比如應該至少判斷 15 個確認節點才能告訴用戶賬號創建成功,那么就可能出現假賬號攻擊。

攻擊示意如下:

1. 用戶使用某款 EOS 錢包注冊賬號(比如 aaaabbbbcccc),錢包提示注冊成功,但由于判斷不嚴格,這個賬號本質是還沒注冊成功

2. 用戶立即拿這個賬號去某交易所做提現操作

3. 如果這個過程任意環節作惡,都可能再搶注 aaaabbbbcccc 這個賬號,導致用戶提現到一個已經不是自己賬號的賬號里

防御建議:輪詢節點,返回不可逆區塊信息再提示成功,具體技術過程如下:

1. push_transaction 后會得到 trx_id

2. 請求接口 POST /v1/history/get_transaction

3. 返回參數中 block_num 小于等于 last_irreversible_block 即為不可逆[2018/7/16]

在crToken中由于其抵押物價格被惡意拉高了,因此攻擊者抵押的大量yUSD可以使其借出更多的資金,最后攻擊者將Cream的其他15個池子全部借空。接下來我們跟進Cream的crToken借貸池中具體借貸邏輯。

突發 | 慢霧區提醒交易所自查USDT 此事件與用戶無關:慢霧區發布預警稱:“交易所涉及USDT 交易的,請交易所注意自查。”金色財經就此事聯系慢霧安全團隊,慢霧安全團隊告訴金色財經此次事件與用戶無關,主要是相關交易所平臺的邏輯缺陷。金色財經將會對此事件持續報道。[2018/6/28]

從cToken合約中我們可以看到,主要借貸檢查在borrowAllowed函數中:

我們跟進borrowAllowed函數,可以看到在427行,其會根據getHypotheticalAccountLiquidityInternal函數檢查實時狀態下的該賬戶所對應的所有cToken的資產價值總和和借貸的資產價值總和,并通過對比cToken的資產價值和借貸的Token價值和,來判斷用戶是否還可以繼續借貸。

我們跟進getHypotheticalAccountLiquidityInternal函數,可以發現對于抵押物的價值獲取來自886行的oracle.getUnderlyingPrice。

我們跟進預言機的getUnderlyingPrice函數,可以容易的發現其將通過代幣150行的getYvTokenPrice函數進行價格獲取。

繼續跟進getYvTokenPrice函數,由于yvTokenInfo.version為V2,因此將通過yVault的pricePerShare函數進行價格獲取。

跟進pricePerShare可以發現其直接返回了_shareValue作為價格,而_shareValue是通過_totalAssets除合約的總share數量(self.totalSupply)來計算單個share的價格的。因此攻擊者只需要操控_totalAssets將其拉高就可以提高單個share的價格從而使得攻擊者的抵押物價值變高以借出更多的其他代幣。

我們可以查看下_totalAssets是如何獲取的,從772行我們可以很清晰的看到,_totalAssets是直接取的當前合約的yDAI/yUSDC/yUSDT/yTUSD代幣數量,以及抵押在策略池中的資產數額相加獲得的。因此攻擊者通過直接往yUSD合約中轉入yDAI/yUSDC/yUSDT/yTUSD代幣就可以拉高share價格從而完成獲利。

通過Ethtx.info可以清晰的看到pricePerShare前后變化:

最后攻擊者在借空其他池子后歸還了閃電貸獲利離場。

總結

本次攻擊是典型的利用閃電貸進行價格操控,由于Cream的借貸池在獲取yUSD池子share價格時直接使用了其pricePerShare接口,而此接口是通過合約的抵押物余額與策略池抵押資產數額相加除總share數來計算單個share的價格的。因此用戶直接往yUSD轉入抵押物就可以很容易的拉高單個share價格,最終使得Cream借貸池中抵押物可以借出更多的資金。

附:前兩次CreamFinance被黑分析回顧

慢霧:CreamFinance被黑簡要分析

王者開局偶遇豬隊友——簡析AlphaFinance&Cream被黑

Tags:USDSHARECREHARExusd幣是啥Glink Arts Sharecream幣團隊HAREC價格

酷幣下載
游戲巨頭育碧計劃創建自己的區塊鏈游戲,以實現更多Play-to-Earn_區塊鏈

鏈捕手消息,在第二季度財報電話會議中,游戲巨頭育碧首席執行官YvesGuillemot證實,育碧既想投資使用區塊鏈的公司,也想創造自己的區塊鏈游戲.

1900/1/1 0:00:00
Bilaxy幣系交易所遭黑客攻擊,損失資產價值超400萬美元_MOBI

作者:胡韜 今日,Bilaxy幣系交易所發推表示熱錢包被黑客攻擊,同時提醒用戶不要再向Bilaxy帳戶發送任何資金,目前團隊正在抓緊時間檢查和修復.

1900/1/1 0:00:00
ENS 空投在即,為什么說去中心化域名及賬戶系統對 Web3 至關重要?_NAME

作者:潘致雄 如果回憶一下初次進行的加密貨幣轉賬時的體驗,特別是在確認收件人地址時,相信你可能會被這幾個問題困擾過:這串像亂碼一樣的地址到底對不對?是需要一個一個字母校驗準確性嗎?字母大小寫亂了.

1900/1/1 0:00:00
分布式基礎設施 Constellation 收購零售數據初創公司Dor,使區塊鏈技術賦能零售業_Constellation

鏈捕手消息,連接大數據和區塊鏈的分布式基礎設施Constellation宣布收購零售數據初創公司Dor.

1900/1/1 0:00:00
交易員的進階課:玩轉 DeFi 期權策略_USD

作者:鏈向區塊鏈 什么是期權? 期權是一種衍生品合約,它賦予了買方在某一特定日期(通常稱為到期日)當天或之前以固定價格購買或出售固定數量的基礎資產的權利,而不是義務,在DeFi中.

1900/1/1 0:00:00
我們是否處于NFT與公鏈的巨大泡沫中?_比特幣

本文來源于FTX博客,由鏈捕手編譯。如果你打開電視或閱讀財經媒體,金融專家和投資者都會談論“萬物泡沫化”的話題.

1900/1/1 0:00:00
ads