By:慢雾安全团队
2021年5月8日,据链闻消息,以太坊收益聚合协议RariCapital因集成了AlphaFinance产生了漏洞,损失近1500万美元。事后,RariCapital官方发布了事故分析报告,分析了此次事故的主要原因。慢雾安全团队在官方分析的基础上,结合慢雾安全团队对此次事件的深入分析,进一步解读本次安全事故的原因。
攻击细节分析
本次攻击发生在RariCapital的RariManger合约中,整个过程下来就是攻击者首先通过闪电贷从dYdX中借出巨量资金,然后不停的重复调用RariManger合约中的deposit和withdraw函数,完成获利。如下图:
那么用户是如何通过deposit和withdraw这两个操作获利的呢?我们需要分析对应的函数:
以上是deposit函数的部分逻辑,首先deposit函数本身会调用内部的_depositTo函数,然后会再次调用getFundBalance函数来获取合约的余额。getFundBalance函数最终是会调用到RariController合约的getBalance函数去获取余额。最后是通过RariController合约中的AlphaPoolController库的getBalance函数获取余额。如下图:
多链NFT市场NFTrade新增跨链购买功能:金色财经报道,根据5月23日官方公告,多链NFT市场NFTrade新增允许收藏家在一个网络上购买物品,同时在另一个网络上付款的功能。该功能是通过与跨链消息传递协议Rarimo的集成创建的,使用NFTrade的跨链购买功能适用于Ethereum、Polygon、Avalanche和BNB Chain。[2023/5/24 15:23:01]
流程上略微复杂,用图来展示大概就是下面这样:
从上面的分析不难发现,Rari合约最终是用到了AlphaFinance项目的ibETH合约的totalETH函数获取合约的余额,目的是为了根据totalETH和totalSupply的比值计算出Rari合约真正的ETH余额。deposit函数是根据用户的充值ETH的数量和比值计算要发放给用户的REPT数量,而withdraw函数的公式也大同小异,同样需要通过getBalance函数获取合约的ETH余额并计算比值,然后根据用户的REPT代币的余额和比值计算需要返还给用户的ETH的数量。但是问题恰恰出在这个获取ETH余额的公式上。
ZetaChain:Omnichain DAO已上线ZetaChain测试网:4月30日消息,跨链智能合约平台ZetaChain发推称,由STP(资产代币化发行平台STP Network)驱动的Omnichain DAO已上线ZetaChain测试网。加密用户将很快能够从一个地方对以太坊,Polygon和任何其他链的提案进行投票。
此前消息,CoinList公告宣布,ZetaChain将推出激励测试网,并于CoinList开放节点申请,测试网参与者将有机会获得相应回报。
页面显示,申请将于4月30日截止,测试网将允许总计150个节点参与,总奖励池包含420万枚ZETA(总供应量的0.2%),锁定期1年。[2023/4/30 14:35:59]
根据官方描述,从ibETH合约获取的totalETH函数获取的值是可以被用户操控的。以下是官方原文:
根据官方的描述,用户可通过ibETH合约的work函数操控totalETH函数返回的值,导致Rari整个价值计算公式崩溃。我们分别分析ibETH的work函数和totalETH函数:
以太坊上海升级硬分叉定于2023年3月进行,将释放信标链质押ETH提款:12月8日消息,以太坊开发人员在周四的以太坊核心开发者会议中敲定上海升级硬分叉于 2023 年 3 月进行,将释放信标链质押的 ETH 提款。开发人员还同意在上海升级中解决 EVM 对象格式 (EOF) 的实施问题。
上海升级中的以太坊改进提案包括 EIP 3540、EIP 3670、EIP 4200、EIP 4570 和 EIP 5450。会议还提到,若 EOF 问题因实施复杂而无法在下一次 All Core Developers 电话会议上进行,开发人员同意将 EOF 推迟到秋季,因此将不会延迟质押 ETH 的提款。[2022/12/9 21:32:21]
totalETH函数:
work函数:
****
以上分别是ibETH合约中的totalETH函数和work函数的部分实现。不难发现totalETH函数其实就是获取合约的总的ETH的数量。而work函数,本身是一个payable函数,也就是说,用户是可以通过work函数来控制ibETH合约中的ETH数量从而来改变totalETH返回的值的。更糟糕的是,work函数同时还支持调用其他的任意合约。那么整个思路就很清晰了。
美国国会议员对SEC主席实施的加密生态系统监管策略表示担忧:金色财经报道,美国国会议员Tom Emmer发推表示,过去一年主要交易所和生态系统(FTX、Celsius、Voyager和Terra)的大幅下滑,美国加密法规的有效性受到质疑。国会议员Tom Emmer对美国证券交易委员会(SEC)主席Gary Gensler对加密生态系统实施的监管策略表示担忧。
此外,Emmer还表示,“国会不应该通过进步出版物中编造的故事来了解SEC监管议程的细节,我们期待GaryGensler在金融委员会面前的公开证词”。[2022/11/26 20:48:17]
攻击流程
1、从dYdX中进行闪电贷,借出大量的ETH;
2、使用一部分的ETH充值到RariCapital合约中,此时从ibETH获取的比值还是正常的;
3、使用剩余的ETH充值到ibETH合约中,调用ibETH合约的work函数,为后续推高ibETH合约的totalETH的返回值做准备;
巴西金融科技公司Nu Holdings二季度新增客户达570万名:金色财经报道,巴西数字银行Nubank的母公司、巴西金融科技公司Nu Holdings在第二季度增加了570万客户,使用其服务的个人和企业数量达到6530万。Nu在7月涉足加密货币领域,其Nucripto平台推出后三周内就增加了100万客户,Nu Holdings在巴西拥有最大的业务,但第二季度在墨西哥和哥伦比亚增加了近700,000名客户。
此外,Nu Holdings第二季度的净亏损增至2990万美元,而2021年同期为1520万美元。该公司在收益中表示,这是由于“本季度更高的股票薪酬和相关税收影响”。[2022/8/16 12:27:31]
4、在work函数中同时对RariCapital合约发起提现,由于上一步已经推高totalETH值,但是计算的totalETH()/totalSupply()的值相对于充值时被拉高,从而使攻击者能从RariCapital中使用等量的REPT获取到更多的ETH。
总结
本次分析下来,主要的原因是协议的不兼容问题,攻击者通过闪电贷和重入的方式,攻击了RariCapital,造成了巨大的损失。慢雾安全团队建议在DeFi逐渐趋于复杂的情况下,各DeFi项目在进行协议间交互时,需要做好协议之间的兼容性,避免因协议兼容问题导致的损失。
****
RariCapital官方分析:
https://medium.com/rari-capital/5-8-2021-rari-ethereum-pool-post-mortem-60aab6a6f8f9
__
攻击交易(其中一笔):
https://etherscan.io/tx/0x171072422efb5cd461546bfe986017d9b5aa427ff1c07ebe8acc064b13a7b7be
往期回顾
慢雾AML升级上线,为资产追踪再增力量
慢雾创始人荣获厦门“双百计划”人才,获百万创新创业资金
狸猫换太子——DODO被黑分析
铸币疑云——PaidNetwork被盗细节分析
慢雾招募令:寻区块链安全弄潮儿
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
币乎
https://bihu.com/people/586104
知识星球
https://t.zsxq.com/Q3zNvvF
火星号
http://t.cn/AiRkv4Gz
链闻号
https://www.chainnews.com/u/958260692213.htm
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
本文来源于非小号媒体平台:
慢雾科技
现已在非小号资讯平台发布68篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/9950521.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
Bitfinex一周简报
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。