Team Finance被黑分析:黑客自建Token“瞒天过海”,成功套取1450万美元-ODAILY

10月27日,成立于2020年的TeamFinance在官方Twitter发声,该协议管理资金在由Uniswapv2迁移至v3的过程中遭到黑客攻击,损失达1450万美元。

在事件发生后的第一时间,欧科云链链上卫士团队凭借超200TB的链上数据量储备,快速对黑客地址进行数据追踪、手法解析,并及时通过官方渠道反馈TeamFinance分析结果,避免链上损失态势进一步扩大。

TeamFinance安全事件复盘

据悉,此次攻击最早发生于2022年10月27日07:22:35,黑客通过创建攻击合约并创建一个攻击token,随后通过执行攻击合约进行lockToken调用,并于08:29:23执行合约并发起攻击交易。

Unitea宣布获得700万美元种子轮融资:金色财经报道,基于区块链音乐互动赚钱平台Unitea宣布获得700万美元种子轮融资,由1st Class Guernsey、Chaos Capital、TokenSociety和Fuel Venture Capital参投。Unitea的董事会成员包括Pitbull(Armando Perez)和Claude VonStroke(Barclay Crenshaw)等行业巨头,Unitea 将利用筹集的资金进一步扩展其平台在音乐行业内外的能力。[2023/5/17 15:08:18]

据链上卫士安全团队分析,此次受到攻击的项目方UniswapV2池子有CAW、TSUKA、KNDX、FEG。

元宇宙算法稳定币项目TeaDAO完成460万美元种子轮融资:金色财经消息,元宇宙算法稳定币项目TeaDAO宣布完成460万美元种子轮融资,投资方包括ShimaCapital、Signum Capital、UOB Venture Management、PNYX、HyperChain、MXC、Spark Digital、Mapleblock、Momentum 6、DFG、JSquare、AU21 Capital、X21、Fomocraft、LD Capital、Basics Capital、Parsiq、Newave Capital、CoinW Venture、NFV Venture、7 O'Clock Capital、ZBS Capital、AVStar、HG Ventures、Satoshi 和 Token Hunter 等。

TeaDAO 旨在构建一个结合 DeFi 2.0、GameFi 和元宇宙的生态系统,计划于 2022 年推出主网,最初会在 BNB Chain 和以太坊上运行,之后会扩展到其他链。TeaDAO 将使用 NFT-as-Bonding-Assets 机制,遵循 OlympusDAO 代币经济学,核心应用是 Staking、Bonds 和 DAO。(Medium)[2022/3/24 14:16:14]

依托于区块链链上数据可溯源、不可篡改的特性,链上卫士团队将链上追踪结果以图表的方式展现,通过黑客资金流向图,用户可清晰地了解黑客盗取资金后的动态。

Ratio Finance宣布其激励TEATNET V2已开放:3月4日消息,Ratio Finance宣布其激励TEATNET V2已开放,面向所有Alpha测试人员和独家Ratio NFT持有者,获得访问权限需要被列入白名单。任何在二级市场购买Ratio NFT的用户均需通过电子邮件发送钱包中NFT的Solscan才能被列入白名单。

据悉,Ratio是基于Solana的DeFi协议,帮助Solana生态系统解锁并提供额外的流动性。[2022/3/4 13:38:20]

TeamFinance黑客手法复盘

纳斯达克上市公司中国茶叶品牌茗韵堂母公司Urban Tea转型比特币挖矿:2月17日,在纳斯达克上市的中国茶叶品牌茗韵堂母公司Urban Tea宣布将在区块链和加密货币采矿方面启动关键战略扩展,据该公司CEO透露,随着区块链技术和加密货币正在变得越来越普及,该公司后续还会逐渐把业务扩张到整个区块链生态系统,包括加密货币挖矿、区块链矿场建设、以及加密货币交易操作等。Urban Tea成立于2011年,总部位于中国湖南,拥有茶叶品牌茗韵堂,目前市值约为4500万美元。[2021/2/18 17:25:47]

攻击交易整体流程:

动态 | Steam推出一款加密货币教学的VR游戏CryptoSpace:据MEET.ONE 报道,Steam近期推出一款加密货币教学的VR游戏CryptoSpace,主要是给新人介绍区块的基本概念,目前展示的区块链包括BTC、EOS、ETH、LTC 和 XRP 。[2019/8/28]

#Step1:

攻击者通过TeamFinance的Proxy合约输入攻击参数:

准备盗取资金的对象:即需要迁移的币对FEG-WETH

而取回的币对却是黑客创建的无价值的token0:0x2d4abfdcd1385951df4317f9f3463fb11b9a31df和有价值的token1:WETH

两者的不一致,是导致该合约被攻击的根本原因!

在这一步中,黑客首先通过lockToken锁仓攻击token,lockedToken变量会记录锁仓详细信息,其中关键字段为withdrawAddress,该字段存在可以满足后续migrate的权限判断。

#Step2:

由于上述LP和输入参数的token不匹配,且noLiquidity参数为true,所以会在UniswapV3中创建一个token0和WETH的流动性池。

#Step3:

UniswapV3调用v3Migrator.migrate方法,迁移FEG-WETH流动性对。

在这一步中,UniswapV3Migrator合约在接收到TeamFinance中传入的参数,会迁移UniswapV2的LP,燃烧LP,获取底层资产$FEG和$WETH,根据转换参数只有1%进入V3pool,其余99%退还给发送合约,TeamFinance将返回到token发送给攻击合约。

Step3步骤拆解:

黑客调用TeamFinance得合约进行LP迁移,利用Step1中准备好的withdrawAddress和msgSender吻合,通过权限检查。

由于TeamFinance的迁移逻辑没有检验交易id与migrateparams的相关关系,黑客通过上面校验后,真正迁移的是黑客输入的params参数。

该参数指定的migrate为与黑客锁仓token无任何关系的FEG-WETH交易对,且迁移数量为TeamFinance持有的全部LP,但参数指定只migrate1%。

#Step4:

此外,相同手法对其它3个流动性池进行了攻击:

TeamFinance事件总结

截至发稿前,黑客已返还涉事的四种Token以及$ETH和USDC到相关项目方,共计约1340万美元。

此次攻击事件,漏洞的本质原因是对输入参数的校验逻辑有问题。黑客通过锁仓毫无价值的token,获取了调用migrate接口的权限。进一步调用UniswapV3的migrate的参数,完全由黑客输入,导致可以从其合约内迁移其他LP资产,结合UniswapV3的migrate处理是首先燃烧所有LP资产,再按照输入的percentage进行迁移,并返还剩余资产,使得黑客可以通过只迁移1%资产,从而窃取剩余99%的资产。

总而言之链上安全无小事,欧科云链再次提醒:重要函数的参数校验要仔细。建议在项目上线前,选择类似链上卫士的专业安全审计团队进行全方位审计筛查,最大化规避项目上线后的安全风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

[0:15ms0-1:783ms