2021年11?30?,據慢霧區消息,DeFi平臺MonoXFinance遭遇攻擊,本次攻擊中約合1820萬美元的?WETH和1050萬美元的MATIC被盜,其他被盜Token包括WBTC、LINK、GHST、DUCK、MIM和IMX,損失共計約3100萬美元。慢霧安全團隊第?時間介?分析,并將簡要分析結果分享如下。
攻擊核心
本次攻擊的核?在于利?swap合約中沒有對池中傳?和傳出代幣是否相同作檢查,以此利?價格更新機制的缺陷,使得攻擊者傳?和傳出代幣相同時,價格被二次計算并覆蓋,導致代幣價格不斷被推?,并以此代幣換出池中的其他代幣來獲利。
相關信息
MonoX是?種新的DeFi協議,使?單?代幣設計?于流動性池。這是通過將存?的代幣與vCASH穩定幣組合成?個虛擬交易對來實現的。其中的單?代幣流動性池的第?個應?是?動做市商系統-Monoswap,它在2021年10?時推出。
攻擊者地址1:
0xecbe385f78041895c311070f344b55bfaa953258
攻擊者地址?2:
0x8f6a86f3ab015f4d03ddb13abb02710e6d7ab31b
數據:Otherdeeds去年版稅收入近5千萬美元,排名第一:1月3日消息,加密KOL Milk Road統計了過去一年NFT項目版稅收入。Definitive數據顯示,Otherdeeds去年版稅收入4990萬美元,排名第一;Azuki以4150萬美元收入排名第二;BAYC以3230萬美元收入排名第三。[2023/1/3 22:23:16]
攻擊合約?1:
0xf079d7911c13369e7fd85607970036d2883afcfd
攻擊合約2:
0x119914de3ae03256fd58b66cd6b8c6a12c70cfb2
攻擊交易1:
https://etherscan.io/tx/0x9f14d093a2349de08f02fc0fb018dadb449351d0cdb7d0738ff69cc6fef5f299
攻擊交易2:
https://polygonscan.com/tx/0x5a03b9c03eedcb9ec6e70c6841eaa4976a732d050a6218969e39483bb3004d5d
LooksRare團隊兌現價值數千萬美元的WETH:2月14日消息,推特用戶tradfiguy2月8日表示,LooksRare團隊通過質押未歸屬的LOOKS獲得WETH獎勵兌現了23116枚WETH,價值約合約7300萬美元,其中大部分直接流向了TornadoCash。
隨后LooksRare的團隊成員zodd回應表示,tradfiguy列出的金額不正確,應是接近10500枚ETH,分配給10多名全職團隊成員。此外,zodd表示團隊在發布LooksRare發布之前共同承擔了超過7位數的成本,在6個多月的時間里夜以繼日地進行零補償,對于賺取WETH的事實從來都不是秘密,對貢獻者迄今為止獲得的WETH沒有意見。[2022/2/14 9:51:01]
攻擊細節
首先攻擊者調用Monoswap.swapExactTokenForToken:
0.1個WETH換出79.986094311542621010個MONO。
接著攻擊者利用漏洞移除池子中其他用戶的流動性,并為添加攻擊合約的流動性以此來獲取最大的利益。
這里移除流動性處的漏洞在Monoswap.sol中的471-510行,移除池中流動性時通過removeLiquidity函數調用_removeLiquidityHelper函數,而這兩個函數都未做調用者和傳入的to參數的身份驗證,所以可直接移除任意用戶在池中的流動性。
主力大單跟蹤:火幣BTC季度合約成交兩張千萬美元級別的超大額委托賣單:AICoin PRO版主力大單跟蹤顯示:比特幣此輪拉升后,火幣BTC季度合約在9900美元附近成交兩筆千萬美元級別的超大額委托賣單,其中一筆掛單成交988.6萬美元,成交比例100.4%;另一筆掛單成交部分后撤單。結合AI-PD-持倉差值指標能夠判斷具體開倉方向。[2020/5/19]
移除0x7b9aa6的流動性,把1670.7572297649224個MONO和6.862171986812230290個vCASH轉出給0x7b9aa6;
移除cowrie.eth的流動性,把152.9745213857155個MONO和0.628300423692773565個vCASH轉出給cowrie.eth;
移除0xab5167的流動性,把99940.7413658327個MONO和410.478879590637971405個vCASH轉出給0xab5167;
為攻擊合約1在MONO代幣流動池創建流動性。
OKEx ETH現貨凌晨成交一筆千萬美元級別的特大額委托賣單:AICoin PRO版K線主力大單跟蹤顯示:4月26日23:28分,OKEx ETH現貨出現一筆委單數量超過6.2萬枚ETH,委單價格為195美元的千萬美元級別特大額委托賣單。4月27日04:22分,該筆訂單成交部分后撤單,具體成交情況可前往aicoin查看。
4月20日,AICoin曾報道火幣ETH現貨在182.5美元附近出現大量委托買單,之后在下降過程中陸續成交,不久ETH拉升至最高200美元附近。[2020/4/27]
緊接著攻擊者調??55?次Monoswap.swapExactTokenForToken以此來不斷堆?MONO的價格。
這里攻擊的核心是在Monoswap.sol中的swapExactTokenForToken函數,攻擊者傳入MONO代幣使得tokenIn和tokenOut是相同的代幣。
A.Top亞交所千萬美金加持G+生態發展:據官方消息,A.Top亞交所支持G+生態布局,4月25日起,將會在二級市場千萬美金加持GTG并長期持有,并協助推進G+區塊鏈技術應用落地。
A.Top亞交所是一家全球化的數字貨幣交易平臺,總部位于新加坡,在香港設有分部。致力于為全球用戶提供安全、穩定的數字資產綜合性交易。[2020/4/25]
跟到swapIn函數中:
可以發現在swapIn函數中,調用了函數getAmountOut來計算價格。接著跟到getAmountOut函數中發現是利用了_getNewPrice函數來計算tokenInPrice和tokenOutPrice。
跟到_getNewprice函數中,發現當計算tokenInPrice時候傳入的txType參數為TxType.SELL,此時:
當計算tokenOutPrice時候傳入的txType參數為TxType.BUY,此時:
如果傳入和傳出為同一種代幣時,價格計算式中的四個變量都相同,所以很容易得出tokenOutPrice會比tokenInPrice要大。
由于tokenIn和tokenOut是同一個token,swapIn函數在計算完價格后會再次調用_updateTokenInfo函數,使得tokenOutPrice的更新會覆蓋tokenInPrice的更新,所以導致這個token的價格上漲。
最后攻擊者調用swapTokenForExactToken函數用MONO來換出池子中的其他代幣。
swapTokenForExactToken函數中調用了swapOut函數,而swapOut函數中計算價格是調用的getAmountIn函數。
在該函數中由于tokenInPoolPrice是取的MONO代幣在池中的價格,而此價格在之前已被推高,導致tokenInPrice變大,計算最后的amountIn變小,用更少的MONO換出了原來相同數量的WETH、WBTC、MONO、USDC、USDT、DUCK、MIM、IMX等池子中的代幣。
攻擊者最終把攻擊獲利轉入地址
0x8f6a86f3ab015f4d03ddb13abb02710e6d7ab31b。
以上為以太坊主鏈上的攻擊分析,此外,攻擊者除了在以太坊主鏈上進行攻擊外,還在Polygon上進行了同樣的攻擊,攻擊手法與以太坊主鏈上相同,此處不做過多重復的分析。
據慢霧AML統計,MonoXFinance最終損失約3400萬美元,包括約2.1K個WETH、1.9M個WMATIC、36.1個WBTC、143.4K個MONO、8.2M個USDC、9.1M個USDT、1.2K個LINK、3.1K個GHST、5.1M個DUCK、4.1K個MIM以及274.9個IMX。
總結
本次攻擊是利用了swap合約里沒有對池中傳入和傳出代幣作檢查,從而利用價格更新機制的問題,由于在swap合約中會對池中傳入和傳出的代幣的價格調用同一個函數_upTokenInfo來進行更新,而當傳入和傳出的代幣為同一種代幣時,第二次調用_upTokenInfo函數時,通過價格計算后的更高的tokenOutPrice會覆蓋掉價格更低的tokenInPrice,以此來不斷推高池中該代幣的價格,最后可以換出池中其他的所有代幣來獲利離場。
By:九九@慢霧安全團隊
Tags:TOKENTOKTOKEKENAnime TokenAston Villa Fan Tokenimtoken2.0下載FitR Metaverse Token
12:00-21:00關鍵詞:紅杉資本、美國SEC、富時羅素、DeFi1.紅杉資本印度等VC尋求投資5000萬至1.5億美元支持Polygon;2.推特將推出以太坊小費功能.
1900/1/1 0:00:00Taproot,一個隱私和可擴展性升級,比特幣開發者期待已久的軟分叉終于在11月啟動。值得一提的是,即使Taproot現在已經激活,Taproot的工作還遠未結束,更多的關于BTC的升級工作正在.
1900/1/1 0:00:00在加密世界中有許多dao,主要是在DeFi領域,現在是游戲領域。讓我們來設定一些定義,DeFiDAO、游戲DAO和GameFiDAO之間存在差異.
1900/1/1 0:00:00注:原文來自彭博社,作者為MisyrlenaEgkolfopoulou及AkaylaGardner,以下為全文編譯.
1900/1/1 0:00:00摘要: DeFi生態系統的第一個"貨幣樂高",如LP代幣和去中心化的穩定幣,為DeFi的進一步發展創造了條件.
1900/1/1 0:00:00元宇宙是數字時代的理想國嗎?在上一期的《元宇宙是數字時代的理想國嗎?》中,我們提出了一個重要的觀點:元宇宙是現實世界的投影。具言之,我們根據現實世界來創造新世界.
1900/1/1 0:00:00