CRV:閃電貸攻擊 錯誤權限配置 2500萬美元付諸東流

一、事件概覽

美國東部標準時間5月12日上午9:44分，鏈必安-區塊鏈安全態勢感知平臺監測顯示，DeFi質押和流動性策略平臺xToken遭到攻擊，xBNTaBancor池以及xSNXaBalancer池立即被耗盡。據統計，此次xToken被黑事件造成約2500萬美元的損失。

盡管在事件后，xToken團隊第一時間發布聲明，并針對被黑原因以及后續補救措施，作出積極回應；但成都鏈安·安全團隊認為此次xToken被黑事件具備相當程度的典型性，涉及到閃電貸攻擊、價格操控等黑客常用攻擊套路，因此立即介入分析，將xToken被黑事件的攻擊流程進行梳理，希望以此為鑒，為廣大DeFi項目方敲響警鐘。

安全團隊：MTDAO項目方的未開源合約遭受閃電貸攻擊，損失近50萬美元:金色財經報道，據Beosin EagleEye Web3安全預警與監控平臺檢測顯示，MTDAO項目方的未開源合約0xFaC064847aB0Bb7ac9F30a1397BebcEdD4879841遭受閃電貸攻擊，受影響的代幣為MT和ULM。攻擊交易為0xb1db9743efbc306d9ba7b5b892e5b5d7cc2319d85ba6569fed01892bb49ea499，共獲利487,042.615 BUSD。攻擊者通過未開源合約中的0xd672c6ce和0x70d68294函數，調用了MT與ULM代幣合約中的sendtransfer函數獲利（因為同為項目方部署，未開源合約0xFaC06484具有minter權限）。

Beosin安全團隊分析發現攻擊者共獲利1930BNB，其中1030BNB發送到0xb2e83f01D52612CF78e94F396623dFcc608B0f86地址后全部轉移到龍卷風地址，其余的swap為其他代幣轉移到其它地址。用戶和項目方請盡快移除流動性，防止攻擊合約有提幣和兌換接口。[2022/10/17 17:29:32]

二、事件分析

Cream Finance閃電貸攻擊者將1000枚ETH兌換為80枚renBTC:金色財經報道，據PeckShield監測，Cream Finance閃電貸攻擊者將1000枚ETH（約合175萬美元）兌換為80枚renBTC。2021年10月，Cream Finance遭到閃電貸攻擊，損失1.3億美元。[2022/9/12 13:23:42]

在本次被黑事件中，攻擊者共計在同一筆交易中利用了兩個典型攻擊套路。

其一，黑客利用了閃電貸操作DEX中SNX的價格，進而影響了xSNX中的鑄幣，旨在達到套利的目的；

其二，黑客利用了xBNT合約中的錯誤的權限配置，傳入預期外的路徑地址，從而達到利用空氣幣完成獲利的目的。

慢霧發布Value DeFi協議閃電貸攻擊簡要分析:據慢霧區消息，Value DeFi遭遇閃電貸攻擊的分析如下：

1.攻擊者先從Aave中借出8萬個ETH；

2.攻擊者使用8萬個ETH在Uniswap WETH/DAI池中用閃電貸借出大量DAI和在Uniswap WETH/DAI兌換大量USDT；

3.用戶調用ValueMultiVaultBank合約的deposit合約使用第2步中小部分DAI進行充值，該合約中一共有3種資產，分別是3CRV、bCRV、和cCRV。該合約在鑄幣時會將bCRV, cCRV轉換成以3CRV進行計價，轉換完成后，Value Defi合約根據總的3CRV價值和攻擊者充值的DAI數量計算mVUSD鑄幣的數量；

4.攻擊者在Curve DAI/USDC/USDT池先使用第二步中剩余的大部分DAI和USDT兌換USDC，拉高USDC/3CRV的價格；

5.攻擊者發起3CRV提現，這時會先將合約中的bCRV, cCRV轉換成以3CRV計價，由于USDC/3CRV價格已被拉高，導致bCRV, cCRV能換算成更多的3CRV；

6.攻擊者使用3CRV換回DAI，并在Uniswap中兌換回ETH，然后歸還Aave的閃電貸 。

總結：由于 Value Defi 合約在鑄幣過程中將合約資產轉換成 3CRV 時依賴 Curve DAI/USDC/USDT 池 中 USDC/3CRV的價格，導致攻擊者可以通過操控 Curve DAI/USDC/USDT 池 中 USDC/3CRV 的價格來操控 mVUSD/3CRV 的價值，從而獲利。[2020/11/15 20:52:09]

接下來，我們一起來還原一下黑客是如何利用“閃電貸攻擊?錯誤權限配置”，完成了整個攻擊流程的。

???準備工作

1、攻擊者首先利用閃電貸借出大量資金；

2、分別利用Aave的借貸功能和Sushiswap的DEX等功能，以獲取大量的SNX代幣；

3、再在Uniswap大量拋售SNX，進而擾亂SNX在Uniswap的價格；

???攻擊開始

4、使用少量的ETH獲得大量的xSNX；

原理解釋：

此次攻擊者利用了xSNX合約支持ETH和SNX進行兌換xSNX的機制。具體而言，當用戶傳入ETH后，合約會將用戶的ETH通過Uniswap兌換為等值的SNX之后再進行xSNX的兌換。由于攻擊者在“準備工作”中的1~3的操作，此時Uniswap中的ETH對SNX的價格是被操縱的，這就使得少量的ETH能夠兌換大量的SNX，進而再兌換大量的xSNX。

???攻擊收尾

5、攻擊者在Bancor中售賣獲利，由于Bancor中的價格并未受到影響，因此價格彼時仍然是正常的。此時攻擊者得以套利，之后歸還閃電貸；

???第二次攻擊開始

6、再利用獲得的利潤來兌換大量的xBNT。

原理解釋：

此次攻擊者利用了xBNT合約支持ETH鑄幣xBNT的功能，合約會將ETH在Bancor中轉化為BNT后進行鑄造xBNT，但需要注意的是，此鑄造函數可以指定兌換路徑，即不需要兌換成BNT也可進行鑄造，這就使得攻擊者能夠任意指定兌換代幣的地址。

三、事件復盤

在xToken團隊的官方回應中，表達了對此次被黑事件造成的資產損失深感遺憾，并提到在未來即將推出的產品中會引入一項安全功能，以防止此類攻擊。但遺憾的是，由于尚未在整個產品系列中引入這一安全功能，由此導致2500萬美元資金損失。

針對xToken被黑事件，成都鏈安·安全團隊在此提醒，隨著各大DeFi項目的不斷發展，整個DeFi世界將越來越多變，新型項目往往會與之前的DeFi項目在各個方面進行交互，如上文提及的Aave和DEX等等。因此，在開發新型DeFi項目之時，不光需要注意自身邏輯的安全與穩定，還要考慮到自身邏輯與利用到的基礎DeFi項目的整體邏輯是否合理。

同時，我們建議，各大DeFi項目方也需要積極與第三方安全公司構建聯動機制，通過開展安全合作、建立安全防護機制，做好項目的前置預防工作與日常防護工作，時刻樹牢安全意識。

Tags：CRVUSDSNXETHcrv幣還有上漲空間嗎busd幣是什么幣snx幣歷史最高價Ethereal對應的情侶名

ADA