ROT:小缺陷大損失 ，GYM Network何至于此 ？-ODAILY_DEP

前言

北京時間2022年6月8日，知道創宇區塊鏈安全實驗室自動數據監測工具監測到BSC鏈上NFT項目GYMNetwork因"PublicdepositFromOtherContract"權限控制問題被攻擊，損失包括7475枚BNB，共計約216W美元，目前已將兌通過DEX換70W美元的ETH通過Celer跨鏈到以太坊，2000枚BNB利用BSC-Tornado進行混幣，余下3000枚BNB在攻擊者地址。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

基礎信息

被攻擊合約：0x0288fba0bf19072d30490a0f3c81cd9b0634258a

Lido：與Lybra Finance無關，在與新協議交互時請做好盡調:6月1日消息，Lido官方發推澄清稱，Lido與Lybra Finance無關，不論他們的品牌如何暗示。不斷發展的LSD DeFi環境令人興奮，但在與新協議互動時，請保持謹慎并做好盡職調查。[2023/6/2 11:53:18]

攻擊者地址：0xB2C035eee03b821cBe78644E5dA8B8eaA711D2e5

攻擊合約：0xcD337b920678cF35143322Ab31ab8977C3463a45、0x68b5f1635522ec0e3402b7e2446e985958777c22

tx：0xfffd3aca0f53715f4c76c4ff1417ec8e8d00928fe0dbc20c89d875a893c29d89

加密貨幣交易所Tap Global募集310萬英鎊資金:金色財經報道，加密貨幣應用Tap Global Group Plc（AQSE：TAP）宣布其普通股在AQSE成長市場的準入板塊（\"準入\"）上市，通過以每股4.5便士的價格認購公司68,888,890股普通股的方式，籌集到310萬英鎊的總資金。[2023/1/10 11:04:28]

GymSinglePool代理合約:0xa8987285e100a8b557f06a7889f79e0064b359f2

漏洞分析

項目方在GymSinglePool合約中實現過程中對于0x0288fba0bf19072d30490a0f3c81cd9b0634258a#depositFromOtherContract函數缺少了權限控制，導致攻擊者能夠通過該函數調用內部_autoDeposit函數實現零消耗質押：

數據：本輪Epoch周期SOL凈解質押數激增至4500萬枚，逾8.5億美元:11月9日消息，SolanaCompass數據顯示，Solana網絡本輪Epoch周期（Epoch370，約21小時后）凈解質押數量激增至45381739枚SOL（約8.6億美元），其中共有47218606枚SOL解質押，新增質押1836866枚SOL。[2022/11/9 12:39:32]

對于應該開放給用戶的質押內部函數是_deposit函數，該函數實現了對于token的審批傳入，如下圖所示：

Web3社交協議Lens Protocol獲FTX Ventures投資，具體金額暫未披露:11月4日消息，加密行業巨頭FTX旗下風險投資部門FTX Ventures已對Web3社交協議Lens Protocol進行了投資，但拒絕透露具體投資金額。Aave Protocol和Lens Protocol背后開發團隊發言人證實了Lens Protocol正在募集資金，但沒有確認本輪融資的規模以及融資交易的結束時間。

據悉，Lens Protocol是一個可組合的去中心化社交圖譜，具有一般的社交媒體功能，例如個人資料編輯、評論、轉發帖子等，允許用戶創建NFT擁有和控制自己所創作的所有內容。（《財富》雜志）[2022/11/4 12:16:20]

對應的_autoDeposit函數則實現了"特權"質押，即不需要轉入Token進行質押。同時該函數直接暴露給了用戶，函數對比如下：

Volt Capital為其第2支加密基金籌集5000萬美元:5月25日消息，專注于早期投資的加密風投機構Volt Capital為其第2支加密基金籌集5000萬美元，支持者包括Andreessen Horowitz（a16z）普通合伙人Marc Andreessen和Chris Dixon、天使投資人EladGil、Union Square Ventures管理合伙人AlbertWenger、Tiger Global和對沖基金經理Brevan Howard。該基金將繼續用于支持基礎設施、DeFi、NFT和DAO相關項目。VoltCapital創始人Soona Amhaz表示，我認為這是投資的絕佳時機，現在正是加倍下注的正確時機。VoltCapital最初是加密加速器計劃DeFi Alliance創始成員，之后于2021年4月推出1000萬美元的投資基金。[2022/5/25 3:41:08]

攻擊流程

攻擊者為了防止鏈上MEV和搶跑機器人，將合約進行了分步部署執行，同時部署/調用了多次以完成對GymNetwork合約(0x3a0d9d7764FAE860A659eb96A500F1323b411e68)中的GYMNETToken完全抽離，以其中一筆部署調用為例：

1.部署合約后調用depositFromOtherContract實"特權"質押，對應0xfd4a2266方法：

內部調用細節如下:

2.調用0x30649e15實現對上一步特權質押的Token回撤：

3.利用0x1d111d13函數售出獲取到的的GYM-Token：

重復多次"特權"質押--回撤--售出步驟，攻擊者最終獲取到7475枚BNB:

為了抑制搶跑，攻擊者將添加質押和回撤進行了步驟分離，兩個步驟均為核心操作，同時刻意提高添加部分步驟的GasPrice為15/20gwei,可見攻擊者是有意為之。

溯源處置

本次攻擊原因是項目方實現的特權函數權限控制不當，在攻擊發現的1小時后項目方將GymSinglePool代理合約的邏輯合約進行了多次修改，為其添加了權限控制：

并在20分鐘后對邏輯合約添加了緊急賬戶處置函數：

而對于項目方Deployer地址分析，其部署的多個GymSinglePool合約根據追蹤僅在兩天前部署的GymSinglePool合約中存在漏洞，4天前的合約則不存在此函數：

同時代理合約對應的邏輯合約被升級為漏洞合約的事件發生在在2days13hrsago：

攻擊者的資金準備(FromTornado)則在約6小時以前，攻擊者的身份也值得令人深思。

總結

雖然只是一處小的控制缺陷，卻導致了數百萬美元的損失。項目方的處置雖較為及時，漏洞導致的損失卻難以挽回。該類型漏洞在審計過程中很容易被發現并將歸納到邏輯缺陷/不安全的外部調用，各項目方在開發和審計流程上切莫大意。

Tags：GYMQUODEPROTGYM價格QUO幣DEPI價格TAROT

Ethereum