ZER:Zerogoki攻擊事件分析

北京時間2021年8月8日13點（區塊高度12982491），Zerogoki項目下的合約遭到攻擊，總計損失約67萬美元。

Zerogoki是Duet Protocol的一個下屬項目，用以在以太坊區塊鏈平臺上引入衍生品。在實現上，Zerogoki沿用了Duet Protocol的Lite Minting算法。

簡而言之，用戶首先購買平臺幣REI，然后將平臺幣Burn掉以兌換其他衍生資產（Synthetic Assets），如zUSD（對標美元的平臺幣）、zBTC 3L（BTC 3X Leveraged Long，即比特幣三倍杠桿看多期貨）。

加密貨幣銀行Juno選擇Zero Hash作為其新的加密貨幣托管方:金色財經報道，加密貨幣銀行Juno已選擇Zero Hash作為其新的加密貨幣托管方。Juno前托管商Wyre本周早些時候宣布將縮減其服務。根據Axios的一份報告，Wyre的領導層告訴員工，它將在1月份清算并終止其產品。根據博文，加密行業內一些知名度較高的公司，包括MoonPay、Nium、Current、Moneylion、Sardine都依賴于Zero Hash的加密基礎設施。Juno表示，正在整合Zero Hash的加密基礎設施，并努力在未來幾周內盡快恢復加密購買和存款。[2023/1/7 10:59:23]

作為一個衍生品合約，Zerogoki需要將衍生資產的價格（如比特幣的價格）導入以太坊區塊鏈。和以太坊上大多數平臺一樣，Zerogoki依賴價格預言機（Oracle）來獲得價格。此次攻擊正是利用了Oracle相關函數。

BitMax即將上線鏈上DEX聚合器協議ZeroSwap (ZEE):據官方消息，BitMax交易所將于1月25日22:00（北京時間）上線ZeroSwap (ZEE)，并開放ZEE/USDT ，充提已開放。

ZeroSwap是一種鏈上DEX聚合器協議，它允許用戶在一個UI上以零交易手續費和無gas費在以太坊和Binance智能鏈等多鏈上進行交易。更多詳情請至BTMX官網查詢。[2021/1/25 13:23:53]

下面我們首先對被攻擊合約0x80ecdb90的代碼進行分析。

tZERO平臺計劃在第二季度成為注冊證券經紀自營商:電子商務巨頭Overstock.com旗下的證券代幣平臺tZERO計劃在第二季度成為注冊證券經紀自營商。tZERO的首席執行官Saum Noursalehi計劃通過一站式服務，擴大加密、證券代幣和主流交易的應用范圍。為了實現這一目標，tZERO必須是美國認可的零售經紀自營商。Saum Noursalehi計劃在2020年第二季度前獲得批準。（Finance Magnates）[2020/5/1]

以上是被攻擊合約的Swap函數。首先調用兩次decode_op，從入參oracle中獲得價格預言機相關的信息。OP結構體包含四個成員：數據類型（datatype）、Token地址（token）、預言機價格（price）和時間戳（timestamp）。

動態 | Element Zero Network發現穩定幣第四協議:據apnews報道，Element Zero Network宣布發現了新一代穩定幣的第四協議方法。第四協議使用了一個新的專有算法穩定性協議，不僅保護了穩定幣免受未來波動事件的影響，還可以通過克服通貨膨脹保持其購買力。[2018/12/7]

在進行一系列驗證后，合約調用tax內部函數計算此次swap所收取的費用。接下來有三個Token操作：首先根據入參ns將平臺幣REI Burn掉；然后Mint衍生資產（在y.token中指定），數量為ns；最后Mint部分平臺幣給GOV合約作為此次swap的費用。

以上是swap開頭的decode_op函數的實現。從這里可以看出，入參oracle除了包含OP結構體外，還包含了SIGNATURENUM個（在攻擊時這個值為3）簽名用于驗證OP的值。我們推測Zerogoki設置了一系列驗證者，價格預言機中包含的信息必須經過簽名驗證才有效。在代碼中檢查了用于簽名的地址是否在數組authorization里，該數組是只能由owner進行設置的驗證者數組。同時，代碼還限定了必須由三個不同的authorized簽名者進行驗證。

總的來說，swap傳入的參數，第一個參數ns用于指定swap兩種Token的數量，沒有經過任何校驗；第二個參數包含了價格預言機的信息，需要authorized私鑰進行簽名驗證。

在代碼中我們注意到兩點：

入參oracle中，與swap直接相關的只有x.token和y.token，即swap的兩種token的類型（其中根據協議設計，x.token大部分為平臺幣REI）。

雖然入參oracle需要相對復雜的簽名機制進行驗證，但其對應的信息只用于進行驗證及swap費用（即tax）的計算。

真正決定swap兩種Token數量的是入參ns。

我們無從得知項目方為何要進行這樣的設計。當然，由于swap函數開頭要調用decode_op對入參oracle的簽名進行驗證。因此，這段代碼出現問題的唯一原因，是至少有三個authorized簽名者被compromised。

不幸的是，這種黑天鵝事件真的發生了。在攻擊交易0x81e5f715中，攻擊者想辦法利用三個authorized簽名者的公鑰，向入參oracle提供了三個正確的簽名；同時向入參ns提供了一個非常不合理的參數，導致攻擊者用少量的REI Token就Mint了大量zUSD。

如上圖所示，攻擊者用300個REI Token，Mint出了70w+個zUSD代幣（zUSD代幣對標美元）。

深入分析后我們發現，攻擊者提供給入參oracle的簽名都是正確的，這三個簽名對應三個authorized地址：

0x0d93A21b4A971dF713CfC057e43F5D230E76261C

0x3054e19707447800f0666ba274a249fc9a67aa4a

0x4448993f493b1d8d9ed51f22f1d30b9b4377dfd2

我們無從得知攻擊者是怎樣得到這三個地址對應的私鑰的。最直觀的原因有兩種可能：三個地址的私鑰同時泄露，或者同時出現了三名“臥底”。無論哪一種，看起來都像是一種概率極低的黑天鵝事件。但可以肯定的是，正是這種黑天鵝事件導致了這次奇怪攻擊的產生。

Tags：ZERZEROEROSWAPRezerveZeronautsFLIBERO價格SafeMoon Swap

Uniswap