CertiK：不借助漏洞的攻击？True Seigniorage Dollar攻击事件分析

北京时间3月14日，CertiK安全技术团队发现DeFi稳定币项目TrueSeigniorageDollar发生新型攻击事件，总损失高达约1.66万美金。此次攻击事件中攻击者利用了去中心化组织(DAO)的机制原理，完成了一次不借助"漏洞"的攻击。技术分析?

整个攻击流程如下：

①?攻击者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通过低价收购大量TrueSeigniorageDollar项目代币TSD，然后利用大量的投票权，强行通过2号提案。图1：TSD项目2号提案的目标(恶意)代币实现合约以及提案人信息

Balancer：约1190万美元资金受Euler攻击事件影响，其他流动性池安全:金色财经报道，去中心化交易协议 Balancer 发推表示，在 Euler Finance 攻击事件中，约 1190 万美元从 bbeUSD 流动性池中被发送给 Eule，占了整个该流动性池 TVL 的 65%，bbeUSD 代币也被存入了其他 4 个流动性池：wstETH/bbeUSD、rETH/bbeUSD、TEMPLE/bbeUSD、DOLA/bbeUSD，所有其他的 Balancer 流动性池都是安全的。

由于采取了保护剩余资金的措施，UI 目前不支持现有 LP 退出这些 bbeUSD 池中的头寸，但不存在资金进一步损失的风险，bbeUSD 池用户可以使用 UI 按比例提取代币和 bbeUSD，但在 Euler 恢复 eTokens（例如 eDAI/DAI）的可转让性之前，无法从 bbeUSD 撤回资金。[2023/3/14 13:02:28]

②?在2号提案中，攻击者提议并通过了将位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合约指向的实际TSD代币合约地址，改为攻击者通过另外地址0x2637d9055299651de5b705288e3525918a73567f部署的恶意代币实现合约。恶意代币实现合约地址：0x26888ff41d05ed753ea6443b02ada82031d3b9fb图2：代理合约指向的代币实现合约通过2号提案被替换为恶意代币实现合约

CertiK：Redemption-LP遭到闪电贷套利攻击 损失15万WFTM:据CertiK安全团队监测，Redemption-LP于北京时间2022年4月18日19点35分遭到闪电贷套利攻击，损失约合110万元人民币（15万WFTM）。该事件发生的原因在于：闪电贷在还款前，不收取任何费用，相应的代币会直接从Redemption-LP pair转给distributor，导致Redemption-LP与其他正常pair之间出现价格差异。[2022/4/19 14:32:42]

图3：攻击者利用所持地址之一建立恶意代币实现合约

多链收益聚合器Beluga在Balancer社区发起提案，计划将Beluga列入veBAL名单:4月11日消息，多链收益聚合器Beluga在Balancer社区发起提案，计划将Beluga列入veBAL名单，以启动自己的beBAL保险库。通过Beluga的beBAL保险库，用户将能够锁定他们的80/20BalancerLP以铸造beBAL代币。

此前报道，3月29日，Balancer正式上线veBAL机制，用户可锁定80/20BAL/ETH池的BPT（Balancer资金池的流动性代币凭证）获得veBAL。[2022/4/11 14:16:51]

③?当2号提案被通过后，攻击者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376，实施确定提案中包含的新代币实现合约地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。图4：攻击者利用所持地址之一确定2号提案，并向所持另一地址铸造巨额TSD代币

④?同时，位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的恶意合约中的initialize()方法也会在升级过程中被调用。通过反编译恶意合约，可以得知恶意合约的initialize()方法会将约116亿枚TSD铸造给攻击者的另外一个地址0x2637d9055299651de5b705288e3525918a73567f。图5：代理合约合约在升级代币实现合约的时候会同时调用initialize()方法

图6：反编译恶意代币实现合约中initialize()方法向攻击者地址铸造代币

⑤?当以上攻击步骤完成后，攻击者将所得TSD代币转换成BUSD，获利离场。图7：攻击者将116亿TSD代币通过PancakeSwap交易为BUSD

智能合约或Dapp的漏洞。攻击者通过对DAO机制的了解，攻击者低价持续的购入TSD，利用项目投资者由于已经无法从项目中获利后纷纷解绑(unbond)所持代币之后无法再对提案进行投票的机制，并考虑到项目方拥有非常低的投票权比例，从而以绝对优势"绑架"了2号提案的治理结果,从而保证其恶意提案被通过。虽然整个攻击最后是以植入后门的恶意合约完成的，但是整个实施过程中，DAO机制是完成该次攻击的主要原因。CertiK安全技术团队建议：从DAO机制出发，项目方应拥有能够保证提案治理不被"绑架"的投票权，才能够避免此次攻击事件再次发生。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。