EFI:Definer預言機攻擊事件分析-ODAILY

前言

北京時間12月13日，知道創宇區塊鏈安全實驗室關注到針對Definer預言機的攻擊事件。

作為第三方區塊鏈安全機構，受Definer、Cherryswap和OEC組成的調查小組邀請參與本次攻擊事件的技術調查工作。實驗室第一時間啟動應急，跟蹤本次事件進行分析并出具調查報告。

分析

tx：

https://www.oklink.com/en/oec/tx/0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a?tab=4

Terra鏈上DeFi鎖倉量為264億美元:金色財經報道，據DefiLlama數據顯示，當前Terra鏈上DeFi鎖倉量為264.6億美元，近24小時增長0.51%。在公鏈中排名第2位僅次于以太坊。目前，Terra鏈上DeFi鎖倉量排名前5的分別為：Anchor（142.9億美元）、Lido（73.5億美元）、Astroport（12.8億美元）、Stader（7.6億美元）、Terraswap（6.95億美元）。[2022/3/28 14:21:15]

攻擊者信息

攻擊tx：0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a

攻擊合約：0x05806559f7f7732f2d3e71bca2eb12eab1938ceb

DeFi 2.0衍生品協議ApeX完成種子輪融資，Dragonfly Capital 領投:3月4日消息，DeFi 2.0 衍生品協議ApeX完成了其種子輪融資，由 Dragonfly Capital Partners 領投，Jump Trading，Tiger Global，Mirana Ventures，CyberX，Kronos 和 M77 Ventures 等參投。

ApeX協議由 Davion Labs 孵化，是一款去中心化和非托管的衍生品協議，致力于為任意代幣對創建永續合約。使用 ApeX，用戶可以直接在以太坊區塊鏈上交易加密衍生品，無需任何中介。

ApeX beta 版本已于2月28日上線 Arbitrum 主網。[2022/3/4 13:36:51]

被攻擊池信息

機構級DeFi項目Flare Finance即將推出測試計劃:4月12日消息，基于Flare Network的機構級DeFi項目Flare Finance發推稱，即將開啟Flare Finance BETA Program（測試計劃），FlareMutual、FlareLoans、FlareMine也即將推出。[2021/4/12 20:10:23]

USDT池：0xc1b02e52e9512519edf99671931772e452fb4399

OKB池：0xd63b340F6e9CCcF0c997c83C8d036fa53B113546

BTCK池：0x33a32f0ad4aa704e28c93ed8ffa61d50d51622a7

OKB攜手Fantom基金 加碼DeFi生態建設:7月1日，據OKEx官方消息稱，Fantom基金已正式加入OKB生態，成為OKB全球生態合作伙伴之一。雙方未來將以OKB生態建設為依托，面向OKB全球百萬用戶，在抵押借貸服務、混合性資產交易、交易效率提升、降低成本等多個方面全面優化用戶的體驗。

據了解，Fantom基金長期致力于打造開源、去中心化以及基于DAG的分布式賬本的技術開發，此次加盟或將給OKB生態帶來更多的可能性。

據了解，截至目前OKB生態合作伙伴已達66個，其長期面向全球154個國家和地區的百萬用戶和粉絲提供優質服務。目前已覆蓋了包括支付、交易、行情軟件、錢包、借貸理財、技術安全、旅游、生活服務、娛樂、社交、電子合同、O2O等多個重要領域。[2020/7/1]

ETHK池：0x75dcd2536a5f414b8f90bb7f2f3c015a26dc8c79

JUST在DeFi品類中交易數以22.13萬、24h用戶數以582均排行第一:根據DappRadar 數據顯示，波場首款DeFi平臺JUST在DeFi品類中，交易數以22.13萬排行第一，24h用戶數以582排行第一，24h用戶增速以162.16%排行第一。JUST是在波場TRON上運行的第一個DeFi項目，旨在打造基于波場TRON的穩定幣借貸平臺，同時也是全球領先數字交易平臺、交易量曾登頂全球Top3的Poloniex LaunchBase首期上線項目。JUST是一個雙代幣系統。第一個代幣USDJ是按1：1的匯率與美元掛鉤的穩定幣，是通過JUST的CDP門戶抵押TRX產生的。第二個代幣JST，可用于支付利息，平臺維護，通過投票參與治理以及JUST平臺上的其他活動。[2020/5/21]

攻擊流程

合約方面調用流程

1、攻擊合約0x058065調用CherrySwap的FlashSwap功能進行閃電貸，貸出了CHE/OKB池子中幾乎全部的CHE。此時池子僅剩極少量CHE

2、抵押給Definer借款來的1000個CHE，Definer預言機計算價格依賴CherrySwap池中兩種代幣的余額比例，導致Definer預言機計算1000個CHE價格失準，1000個CHE的價值被認為極大值。

3、攻擊者借出USDT池子約462,318個USDT

4、攻擊者借出OKB池子約37,172個OKB

5、攻擊者借出BTCK池子約3個BTCK

6、攻擊者借出ETHK池子約8個ETHK

7、攻擊者通過CherrySwap的CHE/USDT池子利用10,000個USDT換出30,765個CHE

8、歸還CherrySwap閃電貸1,575,093個CHE

漏洞細節

根據Definer各合約部署地址(https://docs.definer.org/deployed-contracts/addresses)，由于預言機實現過程通過CherrySwap池子的兩個Token在池子的余額來判斷價格：

預言機實現過程中沒有考慮到閃電貸貸出時余額大量減少的情況，導致了Definer項目方預言機計算失準，從而導致了該事件。

以USDT池子為例:

從具體Transaction中我們跟進到SavingAccount合約的邏輯合約0xc1b02e52e9512519edf99671931772e452fb4399#priceFromAddress

在該函數中使用AggregatorInterface(tokenInfo.chainLinkOracle)的預言機來詢價

排查獲取AggregatorInterface中具體調用地址發現，其映射變量位于TokenRegistry合約：

而TokenRegistry的合約部署地址根據官方的deployed-contracts/addresses可知位于0x0E16Ada9C4Cf95d6722c65504555124A241DdA81

在該地址通過對CHE代幣地址0x8179d97eb6488860d816e3ecafe694a4153f216c查詢得到對應使用的預言機：

該地址即為存在漏洞的預言機地址：

總結

本次事件是由于Definer在OEC對于預言機的實現存在問題，使用了單一流動池在一個時間點的池內代幣余額作為價格源從而導致了事故的發生，而以太坊的實現則使用了ChainLink的預言機不存在該問題。

Tags：EFIDEFDEFICHEMEFI幣Metaegg DeFiOrigen DEFICHEERS

Fil