DEX:假幣的換臉戲法：技術拆解 THORChain 跨鏈系統“假充值”漏洞_MDEX去中心化交易所

Author：

Time：1900/1/1 0:00:00

據慢霧區消息，2021年6月29日，去中心化跨鏈交易協議THORChain發推稱發現一個針對THORChain的惡意攻擊，THORChain節點已作出反應并進行隔離和防御。慢霧安全團隊第一時間介入分析，經分析發現，這是一起針對跨鏈系統的“假充值”攻擊，結果分享如下：

什么是“假充值”？

當我們在談論“假充值”攻擊時，我們通常談的是攻擊者利用公鏈的某些特性，繞過交易所的充值入賬程序，進行虛假充值，并真實入賬。

隨著RenVM、THORChain等跨鏈服務的興起，跨鏈節點充當起了交易所的角色，通過掃描另一條公鏈的資產轉移情況，在本地公鏈上生成資產映射。THORChain正是通過這種機制，將以太坊上的代幣轉移到其它公鏈。

公鏈項目Taraxa：官方并未釋放代幣，警惕假幣風險:據官方消息，公鏈項目Taraxa表示，目前并沒有釋放任何TARA代幣，在市場上流通的“TARA”代幣均為虛假代幣。Taraxa官方目前尚未公布上線計劃合作交易所以及其TARA代幣合約地址。Taraxa基金會在此提醒廣大投資者，謹防被騙。

此前報道，Taraxa已于今日上午在Tokensoft平臺成功完成其本次公開發行，同時在線申購人數約13000人。此外Taraxa計劃于近期啟動上所計劃。[2021/3/12 18:40:13]

漏洞分析

我們從業務邏輯入口去追蹤分析此漏洞的成因。

首先看到在處理跨鏈充值事件時，調用了getAssetFromTokenAddress?方法去獲取代幣信息，并傳入了資產合約地址作為參數：

MDEX官方：UniSwap上假幣MDX與MDEX沒有任何關系:近日，有用戶舉報發現UniSwap上出現冒充MDEX的假幣。據MDEX官方核實，該網站使用“MDEX.COM”標志，并使用MDX為代幣名稱，冒充MDEX發幣嚴重侵犯了MDEX品牌聲譽與用戶利益。MDEX官方團隊發布聲明稱：“UniSwap鏈上假幣MDX與MDEX沒有任何關系，請用戶謹慎辨別。” MDEX團隊同時對用戶發出提醒稱，有關MDEX官方的所有進展和信息，均會通過官網公告及官方渠道進行發布。請廣大投資者保持警惕，謹防上當受騙。[2021/1/20 16:33:19]

-?bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

JustSwap白名單上SSK疑似為假幣:9月23日，JustSwap白名單上SSK疑似為假幣。根據SunStake（SSK）官方消息，SSK代幣地址：TW1sqqq7UphAqGNHDXSLXsEainYHJuQeyC。而JustSwap上的SSK代幣地址為：TYbtUJpoAos99Kt3ih81s6P8TZ1ATTv6Cj。（律動BlockBeats）[2020/9/23]

在getAssetFromTokenAddress方法里，我們看到它調用了getTokenMeta?去獲取代幣元數據，此時也傳入了資產合約地址作為參數，但在此處有一個定義引起我們的警覺，在初始化代幣時，默認賦予了代幣符號為ETH，這就是漏洞的關鍵點之一：asset:=common.ETHAsset，如果傳入合約地址對應的代幣符號為ETH，那么此處關于symbol的驗證將被繞過。

波卡生態項目Acala：此前ACA假幣騙局是網站Bug目前已被修正:9月23日，波卡生態項目Acala官方再次發推，對此前Uniswap上的ACA假幣騙局作出聲明。官方表示，現已被告知ACA假幣是網站網站Bug，目前已被修正。官方再次提醒稱，用戶需保持警惕。此前9月7日及15日，Acala官方兩次發推提醒稱，官方還沒有發行ACA代幣，用戶需警惕Uniswap上的ACA假幣。[2020/9/23]

-?bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go