XDAI:故技重施：Hundred Finance 被黑分析

2022 年 03 月 16 日，據慢霧區消息，Hundred Finance 存在嚴重漏洞遭到攻擊，黑客獲利約 2,363 ETH，慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

Hundred Finance 是一個去中心化應用程序（DApp），它支持加密貨幣的借貸。它是一種多鏈協議，與 Chainlink 預言機集成，以確保市場健康和穩定，同時專門為長尾資產提供市場。

以下是本次攻擊涉及的相關地址：

攻擊者地址：

https://blockscout.com/xdai/mainnet/address/0xD041Ad9aaE5Cf96b21c3ffcB303a0Cb80779E358

攻擊交易：https://blockscout.com/xdai/mainnet/tx/0x534b84f657883ddc1b66a314e8b392feb35024afdec61dfe8e7c510cfac1a098

律師James Murphy：美SEC如果將Coinbase告上法庭，SEC將敗訴:金色財經報道，金融服務律師事務所Murphy&McGonigle創始人兼董事長James Murphy在推文中解釋了為什么他認為如果將 Coinbase 告上法庭，美國證券交易委員會 (SEC) 將敗訴。Murphy表示，如果 SEC 兌現其起訴 Coinbase 的威脅，我相信 SEC 會輸。SEC 的案子有一個致命的缺陷。而這個問題完全是 Gary Gensler 自己造成的。SEC 主席 Gensler 在 2021 年 5 月 6 日向國會作證時表示，SEC 無權監管加密貨幣交易所。Gensler 的證詞是在美國參議院于 2021 年 4 月 14 日確認他擔任 SEC 主席之后發表的。他于 2021 年 4 月 17 日宣誓就職。

所以會有電子郵件、會議記錄、備忘錄、短信、聊天和證詞表明：美國證券交易委員會內部達成共識，即它缺乏國會的合法授權來監管加密貨幣交易所。[2023/5/8 14:49:10]

攻擊者合約：

法律專家：針對Dapper違反證券法的指控而提起的訴訟，法官的判決是一個非常好的決定:金色財經報道，Dapper 試圖駁回針對該公司在提供 NBA Top Shot NFT Moments 時違反證券法的指控而提起的訴訟。曼哈頓聯邦法官 Victor Marrero 駁回了 Dapper 的駁回動議，因為他發現將 Top Shot NFT 標記為證券的論點是合理的，這在這項新技術中尚屬首次。

區塊鏈領域法律專家 Jeremy Goldman 表示，對于大多數使用公共區塊鏈鑄造 NFT 并允許他們的 NFT 在市場上進行交易的人來說，我認為這實際上是一個非常好的決定。法院的判決實際上可能對更廣泛的 NFT 市場來說是個好兆頭，因為 Marrero 法官強調 Dapper Labs 的 Flow 區塊鏈是一個“私有”網絡。法官說，Top Shot NFT 可能是證券，不僅因為 Dapper Labs 創造了它們，還因為該公司建立了 NFT 賴以推出的 Flow 區塊鏈。[2023/2/25 12:29:11]

https://blockscout.com/xdai/mainnet/address/0xdbf225e3d626ec31f502d435b0f72d82b08e1bdd

Bybit：不會限制來自俄羅斯聯邦的用戶:11月6日消息，新加坡加密貨幣交易所Bybit表示，“不歧視基于位置和護照的加密用戶”，將不會限制來自俄羅斯聯邦的用戶。

此前報道，新加坡金融管理局（MAS）表示，針對俄羅斯的制裁措施適用于所有金融機構，包括加密貨幣交易所，即使是在新加坡經營的數字支付令牌服務提供商 (DPTSP)，遵守對俄羅斯的金融制裁是必須的。(news.bitcoin)[2022/11/6 12:23:23]

https://blockscout.com/xdai/mainnet/address/0xbE8fe2aE087aeCcB1E46EF206368421c9212637B

https://blockscout.com/xdai/mainnet/address/0x09b4f2551e9f39fa021a99463e21d6044656a7b9

https://blockscout.com/xdai/mainnet/address/0xf07ac43678b408ff0c86efff99b8d21af3d38c51

Otherside完成First Trip技術演示并發布Litepaper:7月17日消息，Yuga Labs元宇宙項目Otherside已于今日凌晨完成“First Trip”技術演示，并發布一份Litepaper。該文檔可作為Otherside的入門指南，涵蓋平臺的基本原則、開發者能力以及社區共同創建的可能性。Litepaper的內容將隨著時間的推移而增加和變化。最終，它將被The Codex（Voyager旅程第二階段）以及Otherside動態文檔所取代。

據此前報道，Otherside計劃部署Otherside路線圖第一階段的技術演示。此次“First Trip”體驗將僅限Otherdeed地塊所有者（被稱為Voyagers）訪問。平臺將其描述為“慶祝即將到來的一切，并為Voyagers提供聚集、探索和規劃的機會”。[2022/7/17 2:18:54]

https://blockscout.com/xdai/mainnet/address/0x9c4e6edbc45b16e4378b53cd3e261727e103f633

預言機項目Chainlink宣布為Solana主網提供喂價服務:6月3日消息，預言機項目 Chainlink 宣布為 Solana 主網提供喂價服務。在 Solana 主網上構建 DeFi 項目的開發人員現在可以將 Chainlink 的喂價服務整合到他們的產品中。Solana 也由此成為 Chainlink 支持的第一個非 EVM 鏈。[2022/6/3 4:01:02]

被攻擊合約：

https://blockscout.com/xdai/mainnet/address/0x243E33aa7f6787154a8E59d3C27a66db3F8818ee husdc

https://blockscout.com/xdai/mainnet/address/0xe4e43864ea18d5e5211352a4b810383460ab7fcc hwbtc

https://blockscout.com/xdai/mainnet/address/0x8e15a22853a0a60a0fbb0d875055a8e66cff0235 heth

https://blockscout.com/xdai/mainnet/address/0x090a00a2de0ea83def700b5e216f87a5d4f394fe hxdai

攻擊核心點

在 Hundred Finance 借貸協議的 borrowFresh 函數中，記賬是在代幣轉賬之后，但市場中 USDC、wBTC、wETH 使用的是 ERC677 類型 token 合約，它是 ERC20 合約的一個擴展，兼容 ERC20 協議標準。ERC677 在 token 進行轉賬之后，會回調到目標合約的 onTokenTransfer 方法，這就使攻擊者構造的惡意合約能進行重入攻擊。

具體細節分析

1. 通過 SushiSwap 閃電貸借出 2,096,607.298 USDC、1,723,293.26 wXDAI、1,650,170.47 wXDAI。

2. 攻擊者通過攻擊合約向 USDC 借貸合約抵押 1,200,000 枚 USDC，換取 59,999,789.075 枚 hUSDC。

隨后通過借貸合約借走 1,200,000 枚 USDC，但是由于借貸合約記賬是在轉賬之后，因此攻擊者能在轉賬的時候同時開始他的攻擊。

因為 XDai 鏈上的 USDC、WBTC、WETH 是有轉賬后回調步驟，攻擊者在轉完 USDC 之后再次重入到 WBTC 的借貸合約。同時因為上一步借走 USDC 的數據還未記錄，所以攻擊者又順利的借走 16.17030715 枚 WBTC， 此后再次重入到 WETH 的借貸合約，借走 24.715930916595319168 枚 WETH。

3. 接著，攻擊者繼續往 USDC 借貸合約轉入 1,964,607 枚 USDC，拿到 98,230,019.558 枚 hUSDC，然后從池子里面借出 1,748,500.495 枚 USDC，再重入到 xDai 的借貸合約；

隨后，攻擊者轉入大量的 xDai 換出 234,304,737.048 枚 hxDAI，再借出大量的 xDai，再從 USDC 借貸合約借出 4,128,044.631 枚 USDC 之后，攻擊者再一次往 USDC 借貸合約轉入 1,358,759.278 枚 USDC，又獲得 67,937,725.081枚 hUSDC，接著，繼續從 USDC 的借貸合約借出 1,209,295.758 枚 USDC。

4. 最后攻擊者歸還從 SushiSwap 借出來的 xDai 和 USDC，剩余的非法獲利轉到攻擊者賬戶上。

MistTrack

據慢霧 AML 分析，黑客地址將資金從?XDai 跨鏈到以太坊后，將代幣均兌換為 ETH，且在以太坊上的黑客地址初始資金來源于 Tornado.Cash。

最后將獲利的 2,363 ETH 分成 32 次轉入 Tornado.Cash，以躲避追蹤。

總結

本次攻擊事件是由于在借貸合約中的 borrowFresh 函數沒有在代幣轉賬前進行記賬并且使用的 token 是有回調機制造成的，進而導致攻擊者可以在轉賬之后重入到其他借貸合約。慢霧安全團隊建議使用非 ERC20 標準的 token 合約時，要注意兼容性，合約記賬應在代幣轉賬之前做好記錄，遵循 Checks-Effects-Interactions 規則，避免再次出現此類安全問題。

By：Victory@慢霧安全團隊

Tags：USDCSDCUSDXDAIUSDC價格PCUSDCFLUSD幣xDai Chain

Coinw