FIN:Definer 預言機攻擊事件分析

前言

北京時間12月13日，知道創宇區塊鏈安全實驗室?關注到針對Definer預言機的攻擊事件。

作為第三方區塊鏈安全機構，受Definer、Cherryswap和OEC組成的調查小組邀請參與本次攻擊事件的技術調查工作。實驗室第一時間啟動應急，跟蹤本次事件進行分析并出具調查報告。

分析

tx：https://www.oklink.com/en/oec/tx/0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a?tab=4

CertiK通過美國AICPA審核獲得SOC 2類型I認證:金色財經報道，Web3安全審計公司CertiK已經通過了美國注冊會計師協會（AICPA）的審核，獲得了該機構頒發SOC 2 類型 I 認證。SOC2類型I認證是AICPA基于確保服務機構滿足客戶數據安全而提出的標準，素以嚴苛著稱。CertiK通過獨立的第三方審計進行了安全控制、流程和政策等多全面審計和評估，滿足了SOC 2的嚴格標準，有能力為客戶和合作伙伴提供最高級別安全的承諾。在通過該認證后，CertiK方面也表示將一如既往地致力于提供最先進的安全解決方案，使個人、企業和組織等能在保證安全的前提下充分發揮區塊鏈技術的潛力。[2023/7/18 11:00:28]

攻擊者信息

特斯拉CEO馬斯克：美聯儲本周至少需要降息50個基點:金色財經報道，特斯拉CEO馬斯克表示，美聯儲本周至少需要降息50個基點。[2023/3/21 13:16:08]

攻擊tx：0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a

攻擊合約：0x05806559f7f7732f2d3e71bca2eb12eab1938ceb

被攻擊池信息

USDT池：0xc1b02e52e9512519edf99671931772e452fb4399

巴西金融科技公司a55使用D/Bond的ERC-3475標準發行5000萬美元的數字債券:10月24日消息，去中心化債券交易平臺D/Bond和巴西金融科技公司a55發行了價值5000萬美元符合監管規則的鏈上債券，并在巴西證券監管局(CVM)注冊。

據悉，D/Bond平臺依靠其ERC-3475標準使個人和機構能夠創建和發行自己的去中心化債券和衍生品，并在二級市場上與它們進行交易。[2022/10/24 16:36:44]

OKB池：0xd63b340F6e9CCcF0c997c83C8d036fa53B113546

BTCK池：0x33a32f0ad4aa704e28c93ed8ffa61d50d51622a7

美國南卡羅來納州首個NFT房產以17.5萬美元的價格售出:金色財經報道，數字房地產平臺Roofstock宣布通過利用NFT促進首次購買房屋。RoofStock在10月18日的新聞稿中表示，該交易涉及南卡羅來納州哥倫比亞市價值175,000美元的房產，是首個由鏈上融資支持的USDC Homes貸款池銷售。根據該計劃，此次出售由RoofStock onChain (ROC) 促成，該公司作為RoofStock的Web3子公司，促進單戶出租房屋的即時交易。這所房子在RoofStock的NFT市場上上市，建立在Origin協議之上。（finbold）[2022/10/21 16:33:36]

ETHK池：0x75dcd2536a5f414b8f90bb7f2f3c015a26dc8c79

攻擊流程

合約方面調用流程

1、攻擊合約0x058065調用CherrySwap的FlashSwap功能進行閃電貸，貸出了CHE/OKB池子中幾乎全部的CHE。此時池子僅剩極少量CHE

2、抵押給Definer借款來的1000個CHE，Definer預言機計算價格依賴CherrySwap池中兩種代幣的余額比例，導致Definer預言機計算1000個CHE價格失準，1000個CHE的價值被認為極大值。

3、攻擊者借出USDT池子約462,318個USDT

4、攻擊者借出OKB池子約37,172個OKB

5、攻擊者借出BTCK池子約3個BTCK

6、攻擊者借出ETHK池子約8個ETHK

7、攻擊者通過CherrySwap的CHE/USDT池子利用10,000個USDT換出30,765個CHE

8、歸還CherrySwap閃電貸1,575,093個CHE

漏洞細節

根據Definer各合約部署地址(https://docs.definer.org/deployed-contracts/addresses)，由于預言機實現過程通過CherrySwap池子的兩個Token在池子的余額來判斷價格：

預言機實現過程中沒有考慮到閃電貸貸出時余額大量減少的情況，導致了Definer項目方預言機計算失準，從而導致了該事件。

以USDT池子為例:

從具體Transaction中我們跟進到SavingAccount合約的邏輯合約0xc1b02e52e9512519edf99671931772e452fb4399#priceFromAddress

在該函數中使用AggregatorInterface(tokenInfo.chainLinkOracle)的預言機來詢價

排查獲取AggregatorInterface中具體調用地址發現，其映射變量位于TokenRegistry合約：

而TokenRegistry的合約部署地址根據官方的deployed-contracts/addresses可知位于0x0E16Ada9C4Cf95d6722c65504555124A241DdA81?

在該地址通過對CHE代幣地址0x8179d97eb6488860d816e3ecafe694a4153f216c查詢得到對應使用的預言機：

該地址即為存在漏洞的預言機地址：

總結

本次事件是由于Definer在OEC對于預言機的實現存在問題，使用了單一流動池在一個時間點的池內代幣余額作為價格源從而導致了事故的發生，而以太坊的實現則使用了ChainLink的預言機不存在該問題。

來源：金色財經

Tags：CHEFINFINEDEFCHEQFinschiadigifinex安全嗎Origen DEFI

幣安app官方下載最新版