OneRing Finance 被黑分析_USD

By：小白@慢霧安全團隊

2022 年 3 月 21 日，據慢霧區消息，OneRing Finance 存在嚴重漏洞遭到攻擊，黑客獲利約 1,454,672.244369 USDC（約 146 萬美元），慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

OneRing Finance 是一個去中心化應用程序（DApp），它支持加密貨幣的質押挖礦。用戶可以存入代幣來獲取收益。

以下是本次攻擊涉及的相關地址：

攻擊者地址：

0x12efed3512ea7b76f79bcde4a387216c7bce905e

攻擊交易：https://ftmscan.com/tx/0xca8dd33850e29cf138c8382e17a19e77d7331b57c7a8451648788bbb26a70145

攻擊合約：

0x6a6d593ed7458b8213fa71f1adc4a9e5fd0b5a58

Atani融資630萬美元，Conexo Ventures、JME等參投:總部位于西班牙馬德里、運營加密資產交易平臺的初創公司Atani宣布完成530萬歐元（約合630萬美元）的新一輪融資。該筆融資來自西班牙投資者，包括Conexo Ventures、JME、Encomenda Smart Capital和Lanai Partners。

Atani由Haydee Barroso Ba?ales和Paul Barroso（首席執行官）于2019年創建，開發了一個供投資者和加密資產交易員使用的平臺，支持在同一平臺管理所有加密貨幣相關資產。據悉，Atani此前已經融資75萬美元。（Nordic 9）[2021/4/13 20:15:05]

被攻擊合約：

OneRingVault：0xc06826f52f29b34c5d8b2c61abf844cebcf78abf

攻擊核心點

OneRing 直接使用了 Pair 中的 reserves 參與 OShare 的價格計算，攻擊者利用 OneRingVault 正常的業務邏輯進行巨額的 Swap 操作產生的大滑點，使得 Pair 中的 reserves 非預期的增加，從而拉高了 OShare 的價格，導致相同數量的 OShare 可以取出更多的資金。

AsiaOne正式上線VidyCoin，支持兌換Paragon商場現金券:AsiaOne是新加坡報業控股（Singapore Press Holdings, SPH）旗下的一家數字內容網站，該網站于1月15日正式上線VidyCoin，將使用Vidy技術來為用戶提供數字貨幣激勵，用戶只需觀看線上文章內嵌的視頻廣告即可獲得VidyCoin，并可將其兌換成新加坡大型奢侈品商場Paragon的現金券。

據介紹，VidyCoin創建于2018年，是Vidy的原生加密貨幣。VidyCoin可以兌換Paragon商場的多品牌優惠券，如老虎堂（Tiger Sugar）、亞坤咖椰吐司（Ya Kun Kaya Toast）、Mala Mala、Irvin’s Salted Egg、羅勒泰式廚房（Basil Thai Kitchen）和無印良品（MUJI）。[2021/1/15 16:15:38]

具體細節分析

1. 攻擊者構造了攻擊合約，利用閃電貸從 Solidity 借出 80000000 個 USDC 到攻擊合約中

彭博社策略師Mike McGlone：比特幣阻力位可能在2021年向2萬美元過渡:據彭博社分析文章稱，無論是美國大選的不確定性、疫情的未來，還是僅僅是投資者的興趣，比特幣目前處于2018年1月以來的最高水平。不過，一些人認為這種加密貨幣的漲勢將持續下去。彭博情報(Bloomberg Intelligence)大宗商品策略師Mike McGlone表示，“此前比特幣阻力在1萬美元左右，可能在2021年向2萬美元過渡。某些供應讓需求成為主要的價格衡量指標，而且大多數指標仍然是積極的。”[2020/11/5 11:44:17]

2. 接著通過 swap 函數將 1 個 USDC 兌換成 miMatic 代幣，這里可以看到當前代幣兌換率是 1:1.001109876698508218

動態 | 美國法官同意OneCoin案同謀律師延長提交動議的時間:金色財經報道，美國律師Mark Scott因幫助OneCoin加密貨幣騙局洗錢在11月被定罪，并面臨50年監禁。12月4日，Scott獲了得更多時間讓其法律團隊為其準備動議。據報道，Scott請求紐約南區法院（NYSD）法院法官Edgardo Ramos延長1個月，以便他的律師準備重審和無罪開庭的動議。根據法庭備案文件，Scott必須在2019年12月20日之前提交這些動議。[2019/12/11]

3. 調用 depositSafe 函數將 79,999,997（$80,079,997.00）個 USDC 充值進合約

這里 depositSafe 函數會內部調用 _deposit 函數，_deposit 函數會調用 _doHardWorkAll 函數，在該函數中會使用 for 循環將部分存入的 USDC 全部兌換成其他的代幣

聲音 | BB：EOS、Voice有重大的進展，Block.one會在適當的時機參與社區治理:今日Block.one CEO Bredan Blumer在電報群發表長文，向社區成員匯報Block.one團隊的近況，主要提到以下三點內容： 1. BB表示EOS、Voice 和其他一些未公布的計劃已經有重大的進展，并正在努力將其帶到社區中 ； 2. EOS治理問題是比較復雜的，但Block.one不會坐視不管，會選擇在適當的時機參與到社區的治理中； 3. BB表示其對Block.one團隊的發展一如既往的樂觀，并一直將社區放在首要位置。（MEET.ONE）[2019/8/15]

然后 depositSafe 將約 41,965,509.691846094312718922 個 OShare 代幣 mint 給攻擊者。此時我們可以看到 OShare 的價格是 1062758591235248117 這個值

從下面這張圖中可以看出在 swap 后攻擊者使用兩個 USDC 再次兌換 miMATIC 代幣時此時的兌換率已經產生巨大變化：

4. 然后調用 withdraw 函數。我們可以看到 withdraw 函數也調用了getSharePrice 函數進行 OShare 的價格計算

我們來看 getSharePrice 函數：

這里調用了 balanceWithInvested 函數，繼續跟進發現調用了 investedBalanceInUSD 函數：

這里可以看到最終影響價格的是 getUSDBalanceFromUnderlyingBalance 函數

在 getUSDBalanceFromUnderlyingBalance 函數中我們可以看到，該函數使用合約中兩個代幣的數量? _reserves0 和 _reserves1 這兩個值進行計算，由于之前的 swap 導致大量的 USDC 留在池子中，所以導致池子中的 USDC 數量變大，從而使 _amount 變大，這就導致了 getSharePrice 函數獲取到的當前 OShare 的價格變大了

由下圖我們可以看到當前的 OShare 的價格為 1136563707735425848 這個值：

從下面的 withdraw 函數中可以看出最終的提現數量是通過 _withdraw 進行計算得出的

跟進去后發現 _toWithdraw 也是由 balanceWithInvested 計算得出的，這也就導致這個值變大

然后會在這一步將攻擊者持有的 41965509 個 OShare 兌換為 81534750101089 個 USDC

5. 攻擊者歸還閃電貸后獲利離場

MistTrack

據慢霧 MistTrack 分析，攻擊者將獲利的部分 USDC 換成 FTM、ETH，最后將 USDC、ETH 跨鏈到以太坊。同時，以太坊上黑客地址初始資金來自于 Tornado.Cash 轉入的 0.1 ETH，接著黑客將 521 ETH 轉入 Tornado.Cash。

截止目前，黑客以太坊地址仍有近 4.5 萬美元，包括 14.86 ETH 和 100.29 USDC。慢霧 MistTrack 將持續監控黑客地址。

總結

本次攻擊是由于在 MasterChefBaseStrategy 合約中的 getUSDBalanceFromUnderlyingBalance 函數實時儲備量進行計算導致攻擊者可以利用閃電貸制造巨大差值從而獲利。慢霧安全團隊建議在進行 share 的價格計算時不要使用實時儲備量進行計算，避免再次出現此類事故。

Tags：ONEUSDARESHAREBastonetUSDC幣Mirrored ProShares VIXMetaLand Shares

XRP