By:yudan@慢雾安全团队
据慢雾区消息,2021 年 06 月 16 日,以太坊 DeFi 项目 Alchemix 的 alETH 合约疑似出现安全问题。17 日,Alchemix 发布了事故分析报告,慢雾安全团队迅速介入分析,并在官方分析报告的基础上梳理了本次事件的整个脉络和核心关键点,供大家参考。
太长不看系列
本次分析文章很长。这里先说结论,方便大家有个大概的理解。本次事故的主要原因在于 Alchemix 通过 transmuter 添加了 3次 vault,导致收益信息记录在了一个错误的元素上,而在调用 transmuter 的 harvest 函数时也没有传入正确的 index 值,导致通过错误的元素获取了错误的收益,将错误的 4300 ETH 的收益发送到 adapter 合约,帮助用户偿还了 alETH 的贷款,造成收益增多的问题,导致了悲剧。
核心分析——Round 1
根据官方发布的事故分析报告,本次事故的原因是官方的 alETH 的部署脚本意外地创建了额外的 vaults,导致 Alchemix 使用了 vaults 数组中错误的索引并计算出了错误的奖励,导致 transmuter 把所有的奖励用于偿还了用户的所有负债。我知道单单是这句简短的分析让人有点云里雾里,摸不着头脑,所以我们只能把目标放在官方给出的交易中,看看能不能找到真相。
前十大稳定币月平均日交易量从3月的530亿美元降至280亿美元:金色财经报道,稳定币并没有因为比特币价格今年接近历史高点而普遍反弹。评级机构惠誉在一份报告中指出,稳定币的交易量和该行业的总市值相比较低。Block的数据仪表板显示,稳定币的总供应量已经从年初的1380亿美元下降到7月3日的1240亿美元。
前十大稳定币的月平均日交易量从2023年3月的530亿美元下降到5月的280亿美元。然而,惠誉指出,支持稳定币的资产具有更好的流动性。[2023/7/4 22:17:39]
根据官方给出的交易,通过 ethtx.info 分析工具进行分析,我们不难发现,这笔交易调用了 AlchemistEth 合约的 harvest 函数,并且传入了 _vaultId=0 这个参数,最后返回了
"4308144937764982868765" 和 "4308144937764982866415" 这两个值。
为了更加了解 harvest 函数的作用,我们需要对整个函数进行分析:
不难发现,harvest 函数其实包含两个重要的操作,分别是收获奖励和将奖励分发给 transmuter 合约。其中 vault 是一个 library 库合约,其中的 harvest 逻辑实现如下:
美国财长耶伦:未来的货币政策路径取决于美联储:11月11日消息,美国财长耶伦表示,美联储已明确表示将继续加息,未来的货币政策路径取决于美联储。[2022/11/11 12:51:58]
通过代码分析不难发现,vault 库合约的 harvest 函数其实是检查了外部的 adapter 的总的资金量,然后根据 adapter 中的资金量减去用户的充值数量计算出收益的部分。
这里我们可以将这个 adapter 理解为一个策略池,用于管理用户的资金和收益。然后我们回到用户一开始的 AlchemistEth 合约中的 harvest 函数,发现返回的 "4308144937764982868765" 和
"4308144937764982866415" 这两个值其实对应的就是 vault 库合约的 harvest 函数计算出的需要提现的代币数量和从 adapter (策略池) 中取回的代币的数量。由于这个 adapter 对应的收益代币是 WETH,精度为 18 位,那么 "4308144937764982866415" 这个数值换算过来就是 "4308.144937764982866415" 个 WETH。
Bitfinex宣布与Luganodes进行质押服务合作:10月28日消息,Bitfinex宣布,已将Luganodes添加为新的质押提供商。Bitfinex表示,与Luganodes的合作增强了其提供软质押服务的能力,使客户能够通过持有的代币获得奖励。[2022/10/29 11:54:11]
也就是说,本次 harvest 操作,收益了超过 4300 个 ETH 的收益,然后这个收益在下一步中通过 _distributeToTransmuter 函数给到了 transmuter 合约进行分发,我们看下分发过程中的逻辑是怎样的:
_distributeToTransmuter 函数的逻辑只有简单的 3 行,我们主要关注的是最后的外部调用 —— lowerHashMinted 函数。该函数所对应的 xtoken 在这里指的是 alETH 本身。因为 alETH 本身是用户通过借贷借出来的,所以 lowerHashMinted 这里的操作其实是使用 harvest 的收益将 alETH 总的贷出数量减少了,从而减少了每个用户的贷款。总结来说就是用 harvest 4300 ETH 的收益偿还用户的 alETH 贷款。
NFT艺术家DeeKay的Twitter被黑,超过15万美元的NFT被盗:7月15日消息,今天早些时候,著名的韩国动画师和NFT艺术家DeeKay Kwon拥有超过179,800名追随者的Twitter帐户被黑。黑客发布了一个指向钓鱼网站的链接,指示用户以声称从艺术家那里获得独家NFT空投为借口批准恶意交易。在受害者批准交易后,黑客从多名受害者那里窃取了价值约15万美元的NFT。(cryptobriefing)[2022/7/15 2:16:08]
打个小总结
这里先总结下这个流程,就是 AlchemistEth 合约通过 harvest 函数,得到了 4300 ETH 的收益,并将这个收益分发出去了,用于偿还用户的 alETH 贷款,导致了我们看到的情况 —— 已经贷出 alETH 的用户在不需要还款的情况下就可以拿回他们质押的 ETH。那究竟是为什么,会有这 4300 ETH 的收益呢?这多出来的 4300 ETH 的收益是怎么来的?针对这个问题,我们开始下一轮的分析。
核心分析——Round 2
要了解为什么会多出来 4300 ETH,就必须了解 AlchemistEth 的资金存储过程。在 AlchemistEth 合约中,合约总的充值情况是使用 Vault library 库的 Data 结构体进行记录的,然后通过 flushActiveVault 函数更新对应的充值数量(totalDeposit)。
everPay与Safeheron达成战略合作关系:据官方消息,基于Arweave的实时金融协议everPay与密码学和区块链安全公司Safeheron达成战略合作关系。这项合作将进一步提高everPay网络的去中心化水平和资产安全水平。
目前,everPay网络中负责管理用户锁定资产的关键角色是守望者(Watchmen),使用的是中心化服务器的ExecuteHub来生成门限签名密钥。此外,Arweave钱包目前的门限签名算法库也非常有限,对Arweave资产的多签管理非常不便。该团队目前已将算法完全开源给社区使用。此外,Safeheron还将推出基于TEE的RSA密钥分片服务,这将为everPay和整个Arweave生态系统提供坚实的安全基础设施。[2022/6/28 1:37:14]
然后 depositAll 函数会将充值的代币金额打到对应的 adapter(策略池) 中,那么在下一次 harvest 的时候,通过 adapter(策略池) 获取的 totalValue,就会是用户的本金加上策略池的收益。为了计算收益过程中的本金部分,我们对官方给出的交易进行 debug,发现本金仅为 9000 ETH,从 adapter 获取的收益加上本金共有 13000 ETH,也就是说 9000 ETH 的本金产生了 4300 ETH 的收益。
但是,按照上面分析的逻辑,用户的本金是不会产生那么大的收益的,问题肯定是出在了 adapter 获取的 totalValue。也就是说 adapter 不止只有 AlchemistEth 充值代币,还存在其他的收益渠道。为了验证我们的想法,慢雾安全团队分析了 adapter 的所有代币收入,果然发现了一笔异常的转入行为,并且金额也能刚好对上多出的 4300 ETH 的收益。也就是说,问题就在这里了。
通过查看交易数据,发现这是一笔调用 harvest 操作的交易,调用的合约是 transmuter 合约:
也就是说,是这个 harvest 函数出问题了,harvest 函数的逻辑如下:
同样是调用了 vault 的 harvest 函数,熟悉的配方,熟悉的味道。我们再次进行 debug,发现一个惊人的事实 —— 在进行收益的时候,vault 的 totalDeposit 竟然为 0,导致 4300 ETH 的收益直接分发给了 adapter,导致了 adapter 获取的 totalValue 错误了,多了 4300 个 ETH,原因就是在这里。
到了这里,我们已经很接近真相了,剩下要解决的就是为什么 totalDeposit 会为 0?我们查询了transmuter 合约中能改变 totalDeposit 的地方,发现只有 _plantOrRecallExcessFunds 函数可以改变这个值,而这个函数上层调用的又是 distribute 函数。而 transmuter 合约的 distribute 函数是 AlchemistEth 合约在收益的时候进行调用的。也就是说本身的流程应该是:
1. AlchemistEth 合约调用 harvest 进行收益
2. AlchemistEth 合约调用 transmuter 合约的 distribute 函数记录收益情况,并把收益部分给 adapter
3. adapter 收到了 transmuter 的收益,根据收益偿还用户的 alETH 的贷款
但是问题就出在了 _plantOrRecallExcessFunds 函数中。由于在记录充值信息的时候,用的是 _vaults.last() 来获取最新的 vault,所以其实充值信息叠加在了最后一个元素上。但是项目方调用了三次 setActiveVault 函数,所以其实充值信息是叠加到了 _vaults 数组的 3 号元素,也就是 index 为 2 的 vault 元素上。但是在 transmuter 合约在 harvest 的时候传入的 _vaultId 却是 0,0 号元素是没有任何充值记录的,所以 transmuter 合约就误将所有的收益都给了 adapter 了。导致了悲剧的发生。
总结
到这里,整个事情已经变得很清晰了,Alchemix 项目方由于某种原因,通过 transmuter 添加了 3 次 vault,导致收益信息记录在了一个错误的元素上,而在调用 transmuter 的 harvest 函数时也没有传入正确的 index 值,导致通过错误的元素获取了错误的收益,错误收益被发送到 adapter 合约,造成收益增多,导致了悲剧。
慢雾安全团队在此提醒,DeFi 是一个复杂的系统,在进行 DeFi 操作的时候,要记得检查好业务逻辑中的每一个流程,防止意外的发生,在必要的时候可以联系专业的安全团队进行专业的安全审计,防止事故的发生。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。