OPT:百萬美金的火線排雷：深度解讀DeFi資產授權漏洞_OPTI

本文來自AmberGroup，作者吳家志。原文標題：《ExploitingPrimitiveFinanceApprovalFlaws》。

事件摘要：2月24日，一篇關于PrimitiveFinance?的漏洞分析報告在圈內引發關注，報告描述了三個白帽攻擊以及漏洞原理。一個多月后的4月14日，以AmberGroup區塊鏈安全專家吳家志博士為代表的團隊，發現了一個錢包地址有超過100萬美金的資產存在風險。在本地復現攻擊后，其團隊通過Immunefi聯系了Primitive項目方，并成功協助潛在的受害者重置了WETH授權，解除危機。這篇文章將介紹該團隊如何在模擬環境中利用此漏洞，以及如何通過區塊鏈數據分析找到潛在的受害者錢包地址。

原理：智能合約中的裂隙

在目前EVM及ERC-20的架構中，當用戶與智能合約交互時，智能合約本身缺少一個能從代碼層面捕捉到ERC-20轉賬事件的回調機制。例如當Alice給Bob發100個XYZ代幣時，Bob的XYZ余額會被更新在XYZ合約里。但是Bob如何知道他的XYZ變多了呢？他可以查Etherscan或者其錢包App自動從以太坊節點取得的最新余額。如果Alice將100XYZ發給一個智能合約Charlie，Charlie如何得知他的XYZ余額增加了呢？

事實上Charlie沒辦法在收到100XYZ的當下主動取得他最新的余額，原因是這個轉賬是在XYZ合約上發生的，不在Charlie合約。智能合約部署完成后就像操作系統一樣，是一堆代碼放在某個地方，需要被調用了才會發生作用。為了解決這個難題，在ERC-20標準有一個被廣泛使用的機制—approve()/transferFrom()。

Web3游戲工作室SinVerse Studios獲得DWF Labs數百萬美元投資:4月11日消息，Web3游戲工作室SinVerse Studios獲得DWF Labs數百萬美元投資，具體金額未透露。通過DWF Labs的戰略合作伙伴關系和投資，SinVerse Studios計劃開發Web3游戲主機The NFT Cube。

據悉，SinVerse是一款區塊鏈上的Mafia元宇宙項目，SinVerse的原生代幣SIN目前在幣安智能鏈區塊鏈上運行。（Bitcoin.com）[2023/4/11 13:55:58]

舉例來說，當Alice需要往Charlie存入100個XYZ代幣時，Alice可以事先授權Charlie使用她的100XYZ額度，此時Charlie的deposit()函數就可以在一個交易里通過transferFrom()主動將Alice錢包里的100XYZ取出，并且更新Charlie合約的狀態。為了減少摩擦，很多DApp甚至會讓用戶授權無限多的XYZ額度給項目方地址，這樣可以讓后續的transferFrom()調用直接成功，免除掉多次授權的點擊以及手續費，這等同于將Charlie加白。這個方案留下了一個隱患，萬一Charlie作惡或是被攻擊了，Alice的資產就會有危險。

這個發生于2020年6月18日的意外證實了一個被控制或存在問題的智能合約可以如何被利用并且造成資產損失，如下代碼所示，safeTransferFrom()雖然名為safe的transferFrom卻意外被宣告成公開函數，導致任何人都可以使用Bancor合約的身份轉移任意用戶任意數量的任意資產到任意的地址。

Blockfills宣布完成一輪數百萬美元的融資:數字資產交易公司Blockfills宣布已在5月份完成了一輪數百萬美元的融資。這是這家加密初創公司迄今為止在資本運行時所獲得的第一筆外部資金。事實上，該公司正乘著持續的加密狂潮，因為其頂線收入同比增長400%，底線收入增長500%。自2020年1月以來，該公司處理的加密貨幣現貨交易量也飆升了20倍。（FinanceMagnates）[2021/6/24 0:03:16]

簡單舉例來說，如果Alice正好使用過Bancor并且授權Bancor無限額度使用她的DAI，則一旦她的錢包里DAI余額大于零時，黑客就可以立即把她的DAI轉走。

診斷：黑客是怎樣繞開“安檢”的？

根據上文的漏洞分析報告所述，這個外部函數有一個類似的漏洞，但無法像Bancor的漏洞一樣被直接利用。事實上，攻擊者需要偽造兩個ERC20代幣合約，一個Uniswap資金池，并且發起一筆Uniswap閃電貸繞過下圖標注的?msg.sender==address(this)?檢查。聽起來復雜，但對于有經驗的黑客來說，這并不是太困難。

Primitive為何需要實現?flashMintShortOptionsThenSwap()?這樣一個接口呢？其實是有特定使用場景的，在?openFlashLong()函數可以看到，flashMintShortOptionsThenSwap()?會被封裝在一個Uniswap的flash-swap調用參數里，在第1371行觸發flash-swap之后，由回調函數?UniswapV2Call()?調起。此時由于?UniswapV2Call()?在Primitive合約里，便可以通過上述?msg.sender==address(this)?檢查。

Meson Network完成數百萬美元融資，Libertus、Mask Network和Hash Global聯合領投:Web3帶寬交易市場Meson Network宣布完成新一輪數百萬美元融資，由Libertus、Mask Network和Hash Global聯合領投，其他參投機構包括DCG、HashKey Capital、Permanent Ventures、BixinVC、DHVC、Rarestone、LayerX等，海外個人投資者包括Arweave創始人Sam Williams、Matrix Partners（經緯全球）GP Josh Hannah、Thomas Bailey、wikiHow創始人Jack Herrick、Ani Banerjee、Cecilia Li、CoinShares首席戰略官Meltem Demirors等。另外，前輪投資者Youbi Capital、SevenX Ventures、Zonff Partners、Incuba Alpha繼續追加投資。

此前消息，Meson Network宣布完成90萬美元種子輪融資，投資方包括Mask Network、Youbi Capital、SevenX 、Zonff Partners 、PAKA、Incuba Alpha、Kernel Ventures等。[2021/6/21 23:53:35]

值得注意的是，在?openFlashLong()函數里，第1360行寫的是?msg.sender，表示在正常的情況下，Primitive只能使用調用者本身的資金，然而攻擊者可以通過偽造的pair以及params用類似于1371行的方式直接調用Primitive合約的UniswapV2Call()并繞過?flashMintShortOptionsThenSwap()?的檢查。由于params在這情況下可以完全被控制，1360行的msg.sender便可以被替換成任意曾經授權Primitive的錢包地址，然后通過?flashMintShortOptionsThenSwap()?里的?transferFrom()?調用盜取資產。

V神：以太坊2.0上質押的3百萬美元ETH是“對進步的終極押注”:目前，以太坊2.0存款合約中已經有2%的ETH供應，這顯示了以太坊社區的巨大信心，ETH價格現已超過1200美元，僅在過去一周就反彈了70%以上。以太坊創始人V神最近評論說，由此可見社區對以太坊非常有信心。人們鎖定了價值3百萬美元的以太坊，而除非以太坊2.0交付，否則“可能永遠不會再見到這些ETH”。他認為：“在某種意義上，這是對進步的最終押注，而在某種程度上，這就是以太坊的意義所在。”他繼續表示，以太坊將成為21世紀20年代人們所期待的現代區塊鏈，并解釋說，分片和Layer 2生態系統一起將為以太坊帶來每秒數萬筆交易的可擴展性。他稱這是“非常重要的”，因為以太坊最終試圖創建一個平臺，既可以實現主流采用，同時也為其用戶提供足夠的安全利益。

V神指出，我們的目標是將用戶數量擴大到數百萬，甚至數千萬，他認為每天幾十萬用戶是一個“非常小的數字”。此外，根據他的說法，EIP-1559的引入將解決以太坊網絡“高昂gas費”的根本問題，這非常值得期待，可能會成為2021年的大事件之一。（AMBCrypto）[2021/1/9 15:45:59]

追蹤：找出可能的受害者

如果一個黑客碰巧知道某位“大戶”曾授權有問題的合約，他可以輕易利用這個漏洞盜取受害人大量的資金。然而，這件事情如果僅使用區塊瀏覽器是很難做到的，尤其在合約已經部署了較長時間，并有大量用戶量的情況下。其中需要分析的數據并非是靠人工搜索Etherscan能夠實現的。

EOS Pacific節點的母公司Node Pacific數百萬美元天使投資:據金色財經合作媒體IMEOS報道，EOS Pacific的母公司Node Pacific獲數百萬美元天使投資，致力于打造基于亞太的全球節點服務中心; 作為EOS超級節點的候選人，率先為EOS社區建設，技術儲備與活動交流做規模性投入;同時EOS Pacific宣布設立Pacific Capital， 第一期基金以EOS計價，支持EOS生態的創業團隊與項目孵化;

EOS Pacific積極參與EOS生態建設與超級節點建設，目前已持續參與由EOS Canada, EOS Asia等節點組織的EOS主網上線歷次演練，并積極參與IMEOS等眾多方的社區建設。[2018/6/1]

GoogleCloudPublicDatasets在此時可發揮作用。由于每一個成功的approve()調用都會在以太坊上發出一個Approval()事件，我們可以通過BigQuery服務找出所有事件并且通過一些方法過濾出我們感興趣的部分，例如_spender是Primitive合約的所有事件。

下面是我們在GCP上實際用來找出潛在受害者使用的SQL語句，其中第五行可以看到我們限定搜索的以太坊數據庫及記錄事件的表，第七行過濾出Approval()事件，第八行過濾了特定的_spender。此外，第六行將區塊高度范圍設定在Pirmitive合約部署之后，這可以大幅降低BigQuery掃過的數據量，這類的SQL優化會直接反應在你的GCP賬單里。

接下來，我們可以進一步優化SQL查詢將已經通過approve(_spender,0)重置授權的賬號從清單中刨除，得到最終的賬號列表。有了最終的列表，我們利用一個腳本監控著這些賬號，并且在這些危險賬號收到大量資產時發出預警，因為這很可能會造成嚴重的損失。

在一個星期三的清晨，機器人發出了預警，有一個可能的受害人在北京時間4月13日清晨5點24分收到了將近500WETH的資產，價值超過一百萬美金。相較于已公開的三次白帽攻擊，這個受害人如果被成功攻擊，所損失的金額將高于稍早的三個案例的總和。

我們在北京時間9:32緊急聯系了Primitive項目的漏洞賞金計劃運營方Immunefi并且向他們展示我們如何利用這個漏洞在模擬環境中盜取受害人的500WETH，并且提供包括下面的截屏等證據。

在Primitive團隊的幫助下，潛在的受害人于10:03將WETH授權重置，解除危機。

兩天后，Primitive團隊也針對此發現給予漏洞獎勵并發布公開致謝。該筆賞金發稿前已捐助給CryptoRelief。

復現：分布拆解漏洞的利用

漏洞利用的第一步，我們需要準備兩個ERC20合約：Redeem及Option。

其中Redeem合約是一個標準的ERC20，我們只需要基于OpenZeppelin的實現將mint()接口暴露出來，方便我們控制代幣數量，如下所示：

Option合約會相對復雜一點，從下面的代碼片段可以看到，我們需要刻意構造一些全局變量，以及公開函數，這些都是在Primitive的業務邏輯會用到的。此外，我們還需要傳入三個參數來初始化Option合約：

·???????redeemToken:稍早構造的Redeem合約地址

·???????underlyingToken:攻擊目標賬號所持有的資產合約地址

·???????beneficiary:受益人地址，也就是攻擊成功后將受害人資產轉移的目標地址

這里需要特別說明的是mintOptions()這個函數，從上面的代碼可以看到，它會直接把所有的underlyingToken發給beneficiary地址。這是因為下面的內部函數mintOptionWithUnderlyingBalance()函數在被?flashMintShortOptionsThenSwap()時會將underlyingToken發給Option代幣合約，并且通過mintOptions()調用鑄造Option代幣。因此，我們在偽造的Option合約里，可以直接把mintOptions()當作一個提幣調用，將underlyingToken發給beneficiary，用于之后歸還閃電貸的資金。

接下來，我們可以用剛剛創建的Redeem及Option代幣創建一個Uniswap的流動性池子，這個池子的地址將用來接收從受害人錢包轉出的資金。事實上，每個Uniswap池子里有等價的兩種資產，例如WETH及Redeem，為了完成漏洞利用，我們必須為池子注入流通性。Redeem是我們自己創建的，可以鑄造無限量的代幣，但WETH呢？

在閃電貸的幫助下，我們基本上可以利用無限數量的資金來做如何事情，只要確保能在一個交易中歸還資金即可。在這個案例中，我們使用AaveV2的閃電貸借了相當于受害人總資產99.7%的資金存入上述的流動性池。

根據Aave的設計，需要實現一個回調函數executeOperation()執行獲得貸款資金后的操作，并且在最后通過approve()調用授權Aave合約取走閃電貸的資產以及手續費。

總結

在基于EVM的智能合約世界里，approve()/transferFrom()是長久以來存在的固有問題。對于DeFi用戶而言，需要多留意你的錢包地址是否正允許著其他人使用你的資產，并且定期重置資產使用權。對于項目方而言，需要在上線之前花更多心思和時間從各種可能的角度測試，甚至攻擊你的代碼，因為你正在編程的，是每位用戶的真金白銀。

關于作者

吳家志受聘于全球領先的加密金融智能服務提供商AmberGroup，作為區塊鏈安全專家。他畢業于美國北卡州立大學計算機專業，獲得博士學位，師從安卓安全領域領軍者蔣旭憲教授，在美國讀書期間一直從事系統安全研究，主要方向為虛擬化安全、安卓系統安全。吳家志博士在全球安卓安全領域有很大的影響，發表過多篇科技論文，在安卓系統漏洞安全方面經驗豐富。他于2017年開始轉戰至區塊鏈安全領域，曾擔任全球第一家去中心化匿名眾測平臺DVP負責人，號召全網白帽黑客一起尋找開源底層代碼中的漏洞。

Tags：IONOPTOPTIPTIData TransactionOPTCM幣OPTIGCatgirl Optimus

幣安交易所app下載