閃電貸攻擊 + 錯誤權限配置，2500萬美元付諸東流 | xToken被黑事件簡析_ETH

一、事件概覽

美國東部標準時間5月12日上午9:44分，鏈必安-區塊鏈安全態勢感知平臺監測顯示，DeFi質押和流動性策略平臺xToken遭到攻擊，xBNTaBancor池以及xSNXaBalancer池立即被耗盡。據統計，此次xToken被黑事件造成約2500萬美元的損失。盡管在事件后，xToken團隊第一時間發布聲明，并針對被黑原因以及后續補救措施，作出積極回應；但成都鏈安·安全團隊認為此次xToken被黑事件具備相當程度的典型性，涉及到閃電貸攻擊、價格操控等黑客常用攻擊套路，因此立即介入分析，將xToken被黑事件的攻擊流程進行梳理，希望以此為鑒，為廣大DeFi項目方敲響警鐘。

Earning.Farm遭受閃電貸攻擊，黑客獲利268 ETH:10月15日消息，據Supremacy安全團隊監測，Earning.Farm的EFLeverVault合約遭到兩次閃電貸攻擊，第一筆攻擊被MEV bot截獲，造成合約損失480 ETH；第二筆黑客完成攻擊，黑客獲利268 ETH。

經過分析，漏洞是由合約的閃電貸回調函數未驗證閃電貸發起者產生，攻擊者可自行觸發合約的閃電貸回調邏輯：償還合約內的Aave stETH債務并提現，然后將stETH兌換為ETH。隨后攻擊者可調用withdraw函數提現所有合約內的ETH余額。[2022/10/15 14:28:46]

DeFi協議ApeRocket官方：閃電貸共造成126萬美元損失，將在BSC上發布V2以重啟:官方消息，DeFi收益挖礦聚合和優化器ApeRocket發布閃電貸攻擊詳情和補償方案，ApeRocket的BSC版本和Polygon版本分別在4:30 AM和8:00 AM（UTC）遭遇閃電貸攻擊，分別損失26萬美元和100萬美元。ApeRocket表示，將嘗試補償所有受問題影響的用戶以及在攻擊前持有SPACE / pSPACE的用戶。對于BSC版本，ApeRocket正在開發V2，計劃很快在這個新版本下重新啟動網站。ApeRocket將開放一個清算池，還計劃建立回購和銷毀來提高價格。對于Polygon版本，因為發布比較匆忙，沒有其他解決方案，只能設置一個新代幣，并將此新代幣分配給所有持有pSPACE的用戶。ApeRocket還將使用Aperocket V2在Polygon中累積的績效費用，采用積極的回購策略。

此前消息，據PeckShield派盾預警顯示，Aperocket.finance遭到閃電貸攻擊，代幣Space閃跌75%，請用戶注意風控。[2021/7/15 0:53:42]

二、事件分析

PeckShield：BSC鏈上Impossible Finance 遭到閃電貸攻擊攻擊者獲利49.7萬美元:北京時間 6 月 21 日，PeckShield “派盾”預警顯示，BSC鏈上DeFi協議Impossible Finance遭到閃電貸攻擊，攻擊者獲利1,510.75WBNB（合計 49.7 萬美元）。[2021/6/21 23:53:28]

在本次被黑事件中，攻擊者共計在同一筆交易中利用了兩個典型攻擊套路。其一，黑客利用了閃電貸操作DEX中SNX的價格，進而影響了xSNX中的鑄幣，旨在達到套利的目的；其二，黑客利用了xBNT合約中的錯誤的權限配置，傳入預期外的路徑地址，從而達到利用空氣幣完成獲利的目的。

Belt Finance 已修補閃電貸相關攻擊向量，將在 48 小時內恢復存取款并發布補償計劃:針對上周遭到的閃電貸攻擊，幣安智能鏈上DeFi協議BeltFinance發布分析報告稱：此次攻擊，Belt共損失6,234,753BUSD，BeltBUSDVault用戶遭受了21.36%池子比例的損失，而4BeltPool用戶遭受了5.51%池子比例的損失。[2021/5/31 22:58:30]

接下來，我們一起來還原一下黑客是如何利用“閃電貸攻擊+錯誤權限配置”，完成了整個攻擊流程的。準備工作1、攻擊者首先利用閃電貸借出大量資金；2、分別利用Aave的借貸功能和Sushiswap的DEX等功能，以獲取大量的SNX代幣；3、再在Uniswap大量拋售SNX，進而擾亂SNX在Uniswap的價格；攻擊開始4、使用少量的ETH獲得大量的xSNX；原理解釋：此次攻擊者利用了xSNX合約支持ETH和SNX進行兌換xSNX的機制。具體而言，當用戶傳入ETH后，合約會將用戶的ETH通過Uniswap兌換為等值的SNX之后再進行xSNX的兌換。由于攻擊者在“準備工作”中的1~3的操作，此時Uniswap中的ETH對SNX的價格是被操縱的，這就使得少量的ETH能夠兌換大量的SNX，進而再兌換大量的xSNX。

攻擊收尾5、攻擊者在Bancor中售賣獲利，由于Bancor中的價格并未受到影響，因此價格彼時仍然是正常的。此時攻擊者得以套利，之后歸還閃電貸；第二次攻擊開始6、再利用獲得的利潤來兌換大量的xBNT。原理解釋：此次攻擊者利用了xBNT合約支持ETH鑄幣xBNT的功能，合約會將ETH在Bancor中轉化為BNT后進行鑄造xBNT，但需要注意的是，此鑄造函數可以指定兌換路徑，即不需要兌換成BNT也可進行鑄造，這就使得攻擊者能夠任意指定兌換代幣的地址。

三、事件復盤

在xToken團隊的官方回應中，表達了對此次被黑事件造成的資產損失深感遺憾，并提到在未來即將推出的產品中會引入一項安全功能，以防止此類攻擊。但遺憾的是，由于尚未在整個產品系列中引入這一安全功能，由此導致2500萬美元資金損失。針對xToken被黑事件，成都鏈安·安全團隊在此提醒，隨著各大DeFi項目的不斷發展，整個DeFi世界將越來越多變，新型項目往往會與之前的DeFi項目在各個方面進行交互，如上文提及的Aave和DEX等等。因此，在開發新型DeFi項目之時，不光需要注意自身邏輯的安全與穩定，還要考慮到自身邏輯與利用到的基礎DeFi項目的整體邏輯是否合理。同時，我們建議，各大DeFi項目方也需要積極與第三方安全公司構建聯動機制，通過開展安全合作、建立安全防護機制，做好項目的前置預防工作與日常防護工作，時刻樹牢安全意識。

Tags：ETHSNXDEFIEFItogetherbnb更新到哪里了ASNXBasketDAO DeFi IndexDeFiato

萊特幣