By:Kong@慢霧安全團隊
據慢霧區消息,2021年10月27日,CreamFinance再次遭受攻擊,損失約1.3億美金,慢霧安全團隊第一時間介入分析,并將簡要分析分享如下。
攻擊核心
本次攻擊的核心在于利用Cream借貸池對抵押物價格獲取的缺陷,惡意操控拉高了其抵押物的價格,使得攻擊者可以從Cream借貸池借出更多的代幣。
攻擊細節
首先攻擊者從DssFlash中閃電貸借出5億個DAI,隨后將借出的5億個DAI抵押至yearn的yDAI池中,以獲得約4.5億個yDAI憑證。
隨后攻擊者將獲得的yDAI代幣在Curve的yDAI/yUSDC/yUSDT/yTUSD池子中進行單幣流動性添加,以獲得相應的流動性憑證。緊接著攻擊者就將獲得的憑證抵押到yUSD池子中以獲得yUSD憑證,為后續在CreamcrYUSD借貸池中抵押做準備。
美國紐約州指南指示銀行提交商業計劃,包括擬議的加密相關活動的細節:金色財經報道,美國紐約州指南指示銀行提交商業計劃,其中包括擬議的加密相關活動的細節。紐約金融服務部門向國家監管的銀行發布數字資產指導。此外,受國家監管的銀行應在他們打算從事擬議的加密相關活動前至少90天通知紐約金融服務部(NYDFS)。[2022/12/15 21:47:23]
之后攻擊者開始向Cream的crYUSD借貸池中抵押其獲得yUSD憑證,為了擴大其抵押規模,攻擊者從AAVE閃電貸借出約52.4萬個WETH,并將其抵押到Cream的crETH池子中。
攻擊者通過在crETH池子中抵押大量ETH,來使得其有足夠的借貸能力將crYUSD池子中的yUSD全部借出并重復抵押到crYUSD池子中,隨后通過在crYUSD池子中進行循環貸以杠桿的形式擴大了本身在crYUSD池子中yUSD的抵押規模,為后續操控價格獲利做準備。
DeFi平臺BadgerDAO披露被盜1.2億美元細節:12月11日消息,在本周的一篇博客文章中,DeFi平臺BadgerDAO 披露了本月早些時候遭黑客攻擊被盜1.2億美元的細節。BadgerDAO 表示,12 月 2 日發生的網絡釣魚事件是由運行在 Badger 云網絡上的應用平臺 Cloudflare 的“惡意注入片段”引起的。黑客使用在 Badger 工程師不知情或未授權的情況下創建的受損 API 密鑰定期注入影響其部分客戶的惡意代碼。
黑客最終竊取了 1.2億美元的資金,但其中大約 900 萬美元是可以追回的,因為這些資金是由黑客轉移的,但尚未從獾的金庫中取出。
Badger 此后修補了 Cloudflare 漏洞,更新了 Cloudfare 的帳戶密碼,并在可能的情況下刪除或更新了 API 密鑰。
Badger 聘請了網絡安全公司 Mandiant 和區塊鏈分析公司 Chainalysis 來調查這一漏洞,并正在與兩家公司以及美國和加拿大的當局合作,以追回任何可能的資金。
此前報道,去中心化組織BadgerDAO遭受黑客攻擊,損失達1.2億美元,包括約2,100枚BTC和151枚ETH。(coindesk)[2021/12/11 7:32:02]
Parachain Race上線,可展示平行鏈競拍獎勵細節:據官方消息,平行鏈競拍信息聚合頁Parachain Race已上線,該聚合頁展示平行鏈是否為先行網、獎勵細節、是否已開啟交易、獎勵初始釋放數量、是否獲得Web3 Grant、Substrate Builders Program等數據,可供用戶及媒體快速對比平行鏈獎勵規則,作為標準化數據傳播和引用。[2021/6/18 23:47:41]
隨后為了獲得yDAI/yUSDC/yUSDT/yTUSD4Pool憑證以操控價格,攻擊者用約1,873個ETH從UniswapV3中兌換出約745萬個USDC,并通過Curve3Pool將其兌換成DUSD代幣約338萬個。
接下來攻擊者通過獲得的DUSD代幣從YVaultPeak中贖回yDAI/yUSDC/yUSDT/yTUSD4Pool憑證,并利用此憑證從yUSD池子中取回yDAI/yUSDC/yUSDT/yTUSD代幣。
動態 | Telegram Dapp開發團隊透露Ton網絡細節:計劃使用分片擴展交易 網絡有四種參與角色:據Button Wallet官方博客,其將成為Telegram新的區塊鏈Telegram Open Network(TON)上首批推出的分散式應用程序之一。文章表示,TON團隊非常擅長編寫代碼,并且計劃使用分片來擴展用戶之間的交易。TON將有一個主鏈(masterchain)和分鏈(shardchains)。每個分片都是一個區塊鏈,允許與另一個分片進行通信。此外,文章指出,TON的靈感來自于PolkaDot,并將以太坊2.0的原則與分片和Polkadot相結合。TON網絡的參與者有四種角色:驗證者(Validator)、提名者(Nominator )、收集者(Collator )和漁夫(Fisherman),該設計旨在鼓勵驗證者按照網絡的利益行事,并僅發布有效的交易。此外,Button Wallet表示,目前已經啟動了TON lite客戶端并在之后將示例智能合約部署到測試網。(CCN)[2019/5/28]
動態 | 趙長鵬公布幣安慈善機制構建細節:趙長鵬發推特并在Mmedium上公布了其100%慈善機制構建思路細節,包括“3層或4層捐贈跟蹤系統”、“培訓用戶使用錢包轉賬功能”、“身份認證和認證志愿者網絡”等內容。并在推特上表示,愿意傾聽有志之士的想法,如果其系統能夠完成幣安所描述的細節,或者有人愿意為實施這個系統做出貢獻。[2018/10/9]
隨后攻擊者開始進行此次攻擊的關鍵操作,其將約843萬個yDAI/yUSDC/yUSDT/yTUSD代幣直接轉回yUSD池子中,由于其不是通過正常抵押操作進行抵押的,所以這843萬個yDAI/yUSDC/yUSDT/yTUSD代幣并沒有被單獨記賬,而是直接分散給了yDAI/yUSDC/yUSDT/yTUSD憑證的持有者,這相當于直接拉高了其share的價格。
在crToken中由于其抵押物價格被惡意拉高了,因此攻擊者抵押的大量yUSD可以使其借出更多的資金,最后攻擊者將Cream的其他15個池子全部借空。接下來我們跟進Cream的crToken借貸池中具體借貸邏輯。
從cToken合約中我們可以看到,主要借貸檢查在borrowAllowed函數中:
我們跟進borrowAllowed函數,可以看到在427行,其會根據getHypotheticalAccountLiquidityInternal函數檢查實時狀態下的該賬戶所對應的所有cToken的資產價值總和和借貸的資產價值總和,并通過對比cToken的資產價值和借貸的Token價值和,來判斷用戶是否還可以繼續借貸。
我們跟進getHypotheticalAccountLiquidityInternal函數,可以發現對于抵押物的價值獲取來自886行的oracle.getUnderlyingPrice。
我們跟進預言機的getUnderlyingPrice函數,可以容易的發現其將通過代幣150行的getYvTokenPrice函數進行價格獲取。
繼續跟進getYvTokenPrice函數,由于yvTokenInfo.version為V2,因此將通過yVault的pricePerShare函數進行價格獲取。
跟進pricePerShare可以發現其直接返回了_shareValue作為價格,而_shareValue是通過_totalAssets除合約的總share數量(self.totalSupply)來計算單個share的價格的。因此攻擊者只需要操控_totalAssets將其拉高就可以提高單個share的價格從而使得攻擊者的抵押物價值變高以借出更多的其他代幣。
我們可以查看下_totalAssets是如何獲取的,從772行我們可以很清晰的看到,_totalAssets是直接取的當前合約的yDAI/yUSDC/yUSDT/yTUSD代幣數量,以及抵押在策略池中的資產數額相加獲得的。因此攻擊者通過直接往yUSD合約中轉入yDAI/yUSDC/yUSDT/yTUSD代幣就可以拉高share價格從而完成獲利。
通過Ethtx.info可以清晰的看到pricePerShare前后變化:
最后攻擊者在借空其他池子后歸還了閃電貸獲利離場。
總結
本次攻擊是典型的利用閃電貸進行價格操控,由于Cream的借貸池在獲取yUSD池子share價格時直接使用了其pricePerShare接口,而此接口是通過合約的抵押物余額與策略池抵押資產數額相加除總share數來計算單個share的價格的。因此用戶直接往yUSD轉入抵押物就可以很容易的拉高單個share價格,最終使得Cream借貸池中抵押物可以借出更多的資金。
附:前兩次CreamFinance被黑分析回顧
慢霧:CreamFinance被黑簡要分析
作者|?ChenglinPua?編審?|于百程?排版?|?王紀瓏琰原標題:《Facebook的元宇宙愿景與布局》Facebook,總部位于美國加州圣馬特奧縣門洛帕克市的社交網絡巨頭.
1900/1/1 0:00:00康德說:人為自然立法。加密技術奉行第一準則「Codeislaw」為數字社會的經濟關系提供數字對等物,而NFT的出現是加密資產開始實踐它特有的社會和文化變革的使命,同時開始構建成為數字社會稀缺資源.
1900/1/1 0:00:00巴比特訊,Avalanche項目孵化器Colony近日已成功籌集了超過100萬美元的種子資金,由GBVCapital、ForesightVentures和Avalanche基金會共同主導.
1900/1/1 0:00:00XanPool是一家支付基礎設施提供商,可促進更快的加密和法定貨幣結算,今天宣布已籌集了2700萬美元的A輪融資,由ValarVentures領投.
1900/1/1 0:00:00本報記者李文見習記者張博今年以來,數字人民幣試點進展迅速,“10+1”發展格局基本成形。各地因地制宜制定創新推廣策略,促進數字人民幣在C端與B端場景的加速落地.
1900/1/1 0:00:00據U.Today10月26日消息,據Kaiko稱,ProShares比特幣期貨ETF已經突破了10億美元的資產管理規模,并成為投資產品歷史上最快實現這一目標的ETF.
1900/1/1 0:00:00