DEF:Definer預言機攻擊事件分析-ODAILY_DeFi Kingdom

前言

北京時間12月13日，知道創宇區塊鏈安全實驗室關注到針對Definer預言機的攻擊事件。

作為第三方區塊鏈安全機構，受Definer、Cherryswap和OEC組成的調查小組邀請參與本次攻擊事件的技術調查工作。實驗室第一時間啟動應急，跟蹤本次事件進行分析并出具調查報告。

分析

tx：

https://www.oklink.com/en/oec/tx/0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a?tab=4

DeFi協議DFlow完成550萬美元融資:金色財經報道，DeFi 協議 DFlow 完成 550 萬美元融資，Framework Ventures 領投，Coinbase Ventures、Circle Ventures、Cumberland、Wintermute Ventures、Spartan Group 和 ZeePrime 參投。

據悉，DFlow 允許做市商直接從錢包應用程序購買訂單流，并保證做市商將以最佳價格提供執行。DFlow 將最佳價格定義為針對中心化和去中心化交易平臺匯總的最低公共價格。[2023/4/25 14:26:26]

攻擊者信息

攻擊tx：0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a

Avalanche鏈上DeFi協議總鎖倉量為28.2億美元:金色財經報道，據DefiLlama數據顯示，目前Avalanche鏈上DeFi協議總鎖倉量為28.2億美元，24小時減少4.62%。鎖倉資產排名前五分別為AAVE（11.5億美元）、TraderJoe（2.22億美元）、Wonderland (TIME)（2.06億美元）、Benqi(QI)（1.94億美元）、Curv（1.53億美元）。[2022/6/25 1:31:17]

攻擊合約：0x05806559f7f7732f2d3e71bca2eb12eab1938ceb

被攻擊池信息

USDT池：0xc1b02e52e9512519edf99671931772e452fb4399

數據：近一周以太坊上DeFi協議總鎖倉量迎來上漲，漲幅13.45%:歐科云鏈OKLink數據顯示，本周以太坊上DeFi協議總鎖倉量達870.3億美元，同比上漲13.45%。鎖倉量TOP3的幣種分別為Maker（133.0億美元）、Curve（86.6億美元）、Aave V2（78.9億美元）；7日漲幅前三的幣種分別為Enzyme（131.1%）、WaultSwap（75.1%）、UniLend Finance（64.0%）；此外，當前以太坊上穩定幣流通總量達到724.1億美元，較上周同比增加5.42%，更多數據見下圖。[2021/6/7 23:17:59]

OKB池：0xd63b340F6e9CCcF0c997c83C8d036fa53B113546

BTCK池：0x33a32f0ad4aa704e28c93ed8ffa61d50d51622a7

Messari首席執行官：美國加稅計劃或推動投資者會轉向DeFi:Messari首席執行官Ryan Selkis表示，因拜登政府提議的將資本利得稅從目前的23.8％上調至43.4％，投資者可能會轉向DeFi。Selkis稱，意外的后果之一可能是，從長期和中期來看，更多的資本被鎖定在這個加密生態系統中。最終，這將使整個類別的資產受益。Selkis解釋道，投資DeFi資產能夠借用現有的加密資產獲得收益，而不是出售它們并觸發應稅事件。此外，至于當前的比特幣修正，Selkis稱，逢低買入可能會帶來新的買家潮。（The Daily Hodl ）[2021/4/26 20:58:08]

ETHK池：0x75dcd2536a5f414b8f90bb7f2f3c015a26dc8c79

Messari前主管：經歷固定價格上漲后是縮減DeFI投資規模的最佳時機:Messari前主管、股票及加密貨幣交易員Qiao Wang剛剛發推表示：我不斷更新我的觀點，不幸的是，看起來DeFi將會有更多的痛苦。起初我認為，由于DeFi投資者的老練程度，我們不會看到典型的山寨幣80%～90%崩盤，但這一論點正在失效。不管怎樣我堅持認為，在經歷幾個月乏味的固定價格上漲后，是縮減投資規模的最佳時機。[2020/10/29]

攻擊流程

合約方面調用流程

1、攻擊合約0x058065調用CherrySwap的FlashSwap功能進行閃電貸，貸出了CHE/OKB池子中幾乎全部的CHE。此時池子僅剩極少量CHE

2、抵押給Definer借款來的1000個CHE，Definer預言機計算價格依賴CherrySwap池中兩種代幣的余額比例，導致Definer預言機計算1000個CHE價格失準，1000個CHE的價值被認為極大值。

3、攻擊者借出USDT池子約462,318個USDT

4、攻擊者借出OKB池子約37,172個OKB

5、攻擊者借出BTCK池子約3個BTCK

6、攻擊者借出ETHK池子約8個ETHK

7、攻擊者通過CherrySwap的CHE/USDT池子利用10,000個USDT換出30,765個CHE

8、歸還CherrySwap閃電貸1,575,093個CHE

漏洞細節

根據Definer各合約部署地址(https://docs.definer.org/deployed-contracts/addresses)，由于預言機實現過程通過CherrySwap池子的兩個Token在池子的余額來判斷價格：

預言機實現過程中沒有考慮到閃電貸貸出時余額大量減少的情況，導致了Definer項目方預言機計算失準，從而導致了該事件。

以USDT池子為例:

從具體Transaction中我們跟進到SavingAccount合約的邏輯合約0xc1b02e52e9512519edf99671931772e452fb4399#priceFromAddress

在該函數中使用AggregatorInterface(tokenInfo.chainLinkOracle)的預言機來詢價

排查獲取AggregatorInterface中具體調用地址發現，其映射變量位于TokenRegistry合約：

而TokenRegistry的合約部署地址根據官方的deployed-contracts/addresses可知位于0x0E16Ada9C4Cf95d6722c65504555124A241DdA81

在該地址通過對CHE代幣地址0x8179d97eb6488860d816e3ecafe694a4153f216c查詢得到對應使用的預言機：

該地址即為存在漏洞的預言機地址：

總結

本次事件是由于Definer在OEC對于預言機的實現存在問題，使用了單一流動池在一個時間點的池內代幣余額作為價格源從而導致了事故的發生，而以太坊的實現則使用了ChainLink的預言機不存在該問題。

Tags：DEFIDEFEFICHEParadise DefiDeflyballDeFi KingdomTranchess

火必交易所