SDC:慢霧：XCarnival NFT借貸協議漏洞分析_usdc幣最新消息

2022年6月27日，據慢霧區消息，XCarnival項目被曝出嚴重漏洞遭黑客攻擊并盜走3,087個ETH。XCarnival是一個ETH鏈上的NFT借貸項目，目前項目團隊正在修復漏洞并承諾會對受影響的用戶提供解決方案。慢霧安全團隊第一時間介入分析，并將結果分享如下：相關信息

核心合約地址P2Controller：0x34ca24ddcdaf00105a3bf10ba5aae67953178b85XNFT：0x39360AC1239a0b98Cb8076d4135d0F72B7fd9909xToken：0x5417da20aC8157Dd5c07230Cfc2b226fDCFc5663攻擊者EOA地址0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a攻擊合約地址0xf70F691D30ce23786cfb3a1522CFD76D159AcA8d0x234e4B5FeC50646D1D4868331F29368fa92862380x7B5A2F7cd1cc4eEf1a75d473e1210509C55265d80xc45876C90530cF0EE936c93FDc8991534F8A6962漏洞核心點分析

慢霧：昨日MEV機器人攻擊者惡意構造無效區塊，建議中繼運營者及時升級:金色財經報道，慢霧分析顯示，昨日MEV機器人被攻擊的問題原因在于即使信標區塊不正確，中繼仍將有效載荷（payload）返回給提議者，導致了提議者在另一個區塊被最終確定之前就能訪問區塊內容。攻擊者利用此問題，惡意構造了無效的區塊，使得該區塊無法被驗證，中繼無法進行廣播（狀態碼為202）從而提前獲得交易內容。mev-boost-relay昨日已緊急發布新版本緩解此問題，建議中繼運營者及時升級中繼。

據此前報道，昨日夾擊MEV機器人的惡意驗證者已被Slash懲罰并踢出驗證者隊列。[2023/4/4 13:43:37]

1.攻擊者通過XNFT合約中的pledgeAndBorrow函數來進行抵押NFT并借出xToken。

慢霧：Rubic協議錯將USDC添至Router白名單，導致已授權合約用戶USDC遭竊取:12月25日消息，據慢霧安全團隊情報，Rubic跨鏈聚合器項目遭到攻擊，導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下：1. Rubic是一個DEX跨鏈聚合器，用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前，會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。

2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用，調用數據也由用戶外部傳入。

3. 不幸的是USDC也被添加到Rubic協議的Router白名單中，因此任意用戶都可以通過RubicProxy合約任意調用USDC。

4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。

此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中，導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]

慢霧：DEUS Finance 二次被黑簡析:據慢霧區情報，DEUS Finance DAO在4月28日遭受閃電貸攻擊，慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。

3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作，兌換出了9547716.9個的DEI，由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。

4.在進行Swap操作后，攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸，由于borrow函數中用isSolvent進行借貸檢查，而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。

5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC，獲利離場。

針對該事件，慢霧安全團隊給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]

在pledgeInternal函數中轉入NFT并生成訂單：

慢霧：Crosswise遭受攻擊因setTrustedForwarder函數未做權限限制:據慢霧區情報，2022年1月18日，bsc鏈上Crosswise項目遭受攻擊。慢霧安全團隊進行分析后表示，此次攻擊是由于setTrustedForwarder函數未做權限限制，且在獲取調用者地址的函數_msg.sender()中，寫了一個特殊的判斷，導致后續owner權限被轉移以及后續對池子的攻擊利用。[2022/1/19 8:57:48]

2.接著調用withdrawNFT函數提取出質押的NFT，其中首先判斷該訂單是否被清算狀態，如果不是則判斷該訂單的狀態是否為NFT還未被提取且借款金額為0，如果通過即可提取抵押的NFT。

3.以上為攻擊前生成訂單的準備操作，接著攻擊者開始利用生成的訂單直接調用xToken合約中的borrow函數進行借款。

在borrowInternal函數中，會外部調用controller合約中的borrowAllowed函數來判斷是否可以借款。

可以看到在borrowAllowed函數會調用orderAllowed函數進行訂單相關信息的判斷，但是在這兩個函數中均沒有進行_order.isWithdraw狀態的判斷。因此攻擊者可以利用之前生成的訂單來調用XToken的borrow函數來借款，而因為抵押的NFT在之前已經被提出，故攻擊者可以不用還款來實現獲利。

攻擊交易分析

此處僅展示其中一筆攻擊交易的細節，其余攻擊交易的手法均一致，不再贅述。攻擊前準備——生成訂單的交易：0x61a6a8936afab47a3f2750e1ea40ac63430a01dd4f53a933e1c25e737dd32b2f1.首先攻擊者將NFT轉入攻擊合約并進行授權，接著調用xNFT合約中的pledgeAndBorrow函數在進行抵押NFT生成訂單并借款的操作，此處需要注意一點是該函數可以控制傳入的xToken，攻擊者傳入了自己構造的xToken合約地址，并且讓借款數量為0，目的是為了滿足后續能成功提出NFT時的不被清算且負債為0的條件。

2.攻擊者緊接著調用withdrawNFT函數來進行提取抵押的NFT：

正式攻擊交易：0x51cbfd46f21afb44da4fa971f220bd28a14530e1d5da5009cfbdfee012e57e35攻擊者調用xToken合約的borrow函數，傳入之前生成的訂單的orderID，重復了該操作22次，而因為NFT在準備階段已經提走，估計無需還款以此來獲利。

總結

本次漏洞的核心在于借款的時候，沒有進行訂單中NFT是否被提走的狀態的判斷，導致攻擊者可以在把NFT提走之后再利用之前生成的訂單來借款而無需還款，以此來獲利。針對此類漏洞，慢霧安全團隊建議在進行借款操作時應做好訂單狀態中是否已經提走抵押品的判斷，避免再次出現此類問題。

Tags：NFTUSDSDCUSDCDFNORM Vault (NFTX)trustwallet支持usdt嗎usdc幣是什么意思usdc幣最新消息

DOT