我們團隊在整理和復盤Sanshu Inu事件時,發現通縮代幣(Deflation Token)或FoT代幣(Fee-on-Transfer Tokens)是造成這次攻擊的罪魁禍首之一。
我們對通縮代幣可能造成的安全漏洞進行了進一步分析,發現UniswapV2在對Router01的升級修復版Router02的實現中引入了漏洞,使得其中的代幣可以被任意用戶取出。我們初步統計發現,有幾個地址持續從中獲利,僅其中一個地址就從中獲利1000+ETH,價值超過1600萬人民幣。
而且,該問題不僅局限于Uniswap,在所有采用類似UniswapV2 Router02的代碼的平臺都存在這個問題,其中包括以太坊上的SushiSwap,BSC鏈上的PancakeSwap等。為幫助相關項目方了解該問題,在聯系了相關項目方后,我們對該缺陷進行公開。
Uniswap是DeFi領域舉足輕重的去中心化交易所,對于每一對代幣,Uniswap設置了對應的Pair(流動性池,下稱Pair或池子)實現了自動做市機制。然而直接調用UniswapV2的Pair進行交互(如圖中的Choice 1)對普通用戶而言是有一定的難度的。因此UniswapV2為用戶進行了一層封裝,即用戶可以通過UniswapV2的Router實現代幣的交換(Swap)及流動性的增減(Add/Remove Liquidity)操作,而不必操心Router與Pair具體如何實現交互(如圖中的Choice 2)。
(要點1)Router在代替用戶與Pair進行代幣交換(Swap)和增減流動性(Add/Remove Liquidity)的時候,要么會直接將錢在用戶和Pair之間transfer,而不經過Router;或者Router會用變量amount記錄用戶和Pair轉進來的代幣數量,再分別地轉給對應的Pair或者用戶。也就是說,正常情況下,Router在一筆交易執行之后,是不會留存有任何Token的。
幣安NFT市場推出Playbux Ultra NFT系列:7月7日消息,幣安公告稱,幣安NFT市場通過申購機制(Subscription Mechanism)推出Playbux Ultra NFT系列。該系列共有3000枚Playbux Ultra NFT,該系列的推出將遵循BNB先決條件。準備階段自北京時間7月10日08:00起至7月12日10:00,日均BNB最低持有量為0.1枚BNB的用戶可參與Playbux Ultra NFT系列初售。[2023/7/7 22:24:13]
(要點2)問題出在Router02新增的減少流動性的函數實現。Router02在實現函數removeLiquidityETHSupportingFeeOnTransferTokens()的時候,并沒有記錄應當返還給用戶多少代幣,而是調用該種代幣的balanceOf(address(this))函數,從而將Router02當前持有的所有該種代幣都轉給用戶。代碼如圖所示。
正常情況下,這樣并不會產生任何問題,因為Router02所有的錢在該筆交易內,都是來源于用戶從Pair中取出的流動性,所以都是用戶的。但是,如果某種情況下導致了Router02中事先就存有了該種代幣呢?這個時候用戶就可以調用該問題函數實現不當獲利了。
經過我們的調查發現,現實中這種情況屢見不鮮。我們根據獲利數量初步分析發現,導致Router02中不正常存有代幣的情況有以下幾種:
Token的機制設置
部分Token為了給Token的使用者進行分紅或補償,會定期或不定期給Token的用戶發該種Token。如穩定幣Fei(TVL 1.66億美元),我們將在下文的實例介紹中詳細介紹該項目。????2.項目空投。
360類ChatGPT大模型產品面向企業用戶開放內測:金色財經報道,三六零官方正式宣布,基于360GPT大模型開發的人工智能產品矩陣“360智腦”率先落地搜索場景,將面向企業用戶開放內測。據了解,企業用戶在PC端360搜索首頁申請并獲得測試資格后,可通過企業安全云體驗使用。(界面)[2023/4/9 13:53:33]
用戶誤轉。我們發現大量交易不小心將Token直接轉入Router02中,而不當獲利者(我們姑且這么稱呼)會在接下來的幾個塊內(甚至同一塊內)迅速利用Uniswap的該缺陷函數移走用戶資產,實現獲利。如交易0x1951efc5ea628503f02d5f233aee9bdeb9594ee9164947af49c99c202ce05f41中 一個地址向Router02轉了價值1000美元的FXF Token,而在緊隨其后的另一筆交易(0xbbcaf5069e21ee457fe4083c6ecc728d5a71443a377a0c700db6ed6a69fdbd5d)中這些Token就被另一個地址采用上述方法取走了。
由此,我們只需要監測Router02中的Token數量,如果某種Token的價值能夠覆蓋發起交易的交易費用,就可以實現獲利。具體交易實現如下
1.向對應Pair(必須是ETH和該種Token的池子)提供少量流動性,為接下來移除流動性做好準備。
監控Router02地址,獲取其每一個Token的Balance。當某個Token的balance總價值能夠覆蓋交易費用和相關成本時,發起下一步交易。
通過調用Router02合約的函數函數removeLiquidityETHSupportingFeeOnTransferTokens()移除少量該池子的流動性,這個時候Router02會根據balanceOf(address(this))將你應得的部分和Router02中所有的該種Token一起transfer給交易發起者。
7000萬枚USDT從Tether Treasury轉移至Bitfinex:金色財經報道,據Whale Alert監測數據顯示,70,000,000USDT(約合70,042,000美元)從Tether Treasury轉移至Bitfinex。[2023/3/25 13:26:26]
研究過程中,我們發現其中兩筆交易中其調用者獲利了將近300個ETH,總價值約160萬美元。
Fei 項目介紹
這兩筆交易中涉及的Token為Fei(一種對標美元的穩定幣,即1 Fei == 1 USD)。其中Fei的Incentive機制是導致Router02中出現大量Fei代幣的原因。該機制可以為UniswapV2的 FEI/WETH交易池設置一個Incentive合約。當有人調用Fei進行轉賬的時候,Fei合約會根據sender是否注冊incentive合約決定在轉賬完成后是否會回調對應Incentive合約的Incentivize函數。該函數根據條件判斷后會調用Fei.mint,向recipient,也就是Fei的接收者額外mint出一筆錢,如圖。
也就是說,這個incentive合約的功能就是,任何人在UniswapV2的 FEI/WETH交易池取走FEI的時候,除了會獲得UniswapV2的 FEI/WETH交易池 transfer的本金外,還會額外收到一筆獎勵。而Router02代替用戶進行removeLiquidityETH和removeLiquidityETHWithPermit操作的時候,就會由于轉手了Fei代幣,而被發放獎勵。
Ronin生態DEX Katana將于2023年1月1日啟動新流動性挖礦機制:12月31日消息,Axie Infinity側鏈Ronin宣布其DEX項目Katana將于2023年1月1日啟動新的流動性挖礦計劃。新計劃中RON釋放量將減少50%,計劃實施的第一次迭代將從1月1日運行到3月31日,屆時Katana將對該計劃進行季度評估。新的Katana流動性挖礦計劃的預算約為1100萬枚RON,約占總供應量的1.1%。[2022/12/31 22:17:32]
獲利實現分析
下面我們以交易0x46a8a8eb2fcf75e0a4874d0049d833eaa6432d4b28cb558dc631806be431618b為例,具體介紹獲利是怎么實現的。
在該交易發生之前,Fei在交易0x9f4e2995481fa10cba40ac013d06e2352db5323bd2deae81b89444be2e88a1be中通過調用了EthUniswapPCVController?合約的reweight(),其中調用了UniswapV2Router02的removeLiquidityETH函數,導致大量的Fei(約69萬個)截留在Router02中。
該用戶監測到該獲利機會,在隨后的幾個塊實現了該交易(部分執行截圖如下)。
從圖中的第2、3個紅框可以看到,用戶調用該特殊的移除流動性的函數后,Pair轉給Router02的錢僅約為2.6e16 wei(不到1美元),而Router02轉給用戶的錢卻約有6.9e23 wei,即純獲利Fei約69萬個。而產生差距如此巨大的原因就在于Router02中本來就有將近這么多錢(見第1個紅框)。(圖中可以看到Fei在transfer的時候調用了對應的Incentive函數,感興趣的朋友可以自行查看交易。圖源https://tx.blocksecteam.com/)
安全團隊:Mango攻擊者將約780萬美元代幣轉至Mango升級委員會錢包:10月14日消息,據派盾(PeckShield)監測,Mango攻擊者將價值約780萬美元的代幣轉至Mango升級委員會(Mango Upgrade Council)控制的錢包9mM6NfXau...26wY中。
此前消息,Mango官方發布攻擊事件詳細報告,并稱最好的解決方式是與攻擊者進行溝通。[2022/10/14 14:28:03]
用戶在獲得這些大量的Fei Token之后在同一個交易內直接通過Uniswap將其轉成WETH(超過297個)后轉給獲利地址0x4d1d758f0966c6e6de873958e62788300c13f60e。
后續
Fei項目已經在2021年7月4號移除了該交易對的Incentive合約,即Fei項目不會再向Router02發放獎勵,交易0xfa6e50b964f57a7fd9451af694d18b851a30e58649d878d21b10c20f810723d1。
漏洞來源
Router02是UniswapV2中引入的第二版Router,為了解決Router01無法處理FoT代幣(Fee-on-Transfer Tokens)的問題(如圖,來源Uniswap官方文檔)。
FoT代幣會在transfer過程中收取手續費,導致調用transfer()、transferFrom()時,接收方實際獲得代幣數量小于發送方發出的代幣數量,致使Router01無法根據Pair傳給Router的數量原封不動地轉給用戶。所以Router02實現了removeLiquidityETHSupportingFeeOnTransferTokens()用于解決該問題,將該轉給用戶的,都轉給用戶。
但是該實現沒有對該函數的假設(即處理的FoT代幣)進行檢驗,而是粗暴地使用了balanceOf(address(this)),導致用戶(包括項目方)受害,大量財產暴露甚至散落在公眾場合,吸引了惡意用戶來不當獲利。
受害者分析
我們根據Router02出現代幣的主要幾種情況進行分析,可以看到受害者如下:
1.Token的機制設置導致Router02中存在部分Token:直接受害者是Uniswap的用戶,用戶在Uniswap交換的時候本來應該得到的Token部分被Router02截獲,導致用戶損失。而這進一步導致Token項目方設計的機制無法將利益分發給其用戶,使得其相關機制失效,導致項目可用性受損,因此間接受害者是項目方。2.用戶誤轉導致Router02中出現Token:受害者是相關用戶,不可否認用戶有其一定的責任,但是Uniswap由于缺乏必要的校驗,導致其將不屬于Uniswap的幣轉給第三方。
建議
defi項目之間的可組合性導致了defi領域的繁榮,也帶來大量安全風險。因此項目方在項目開發的過程中需要特別注意與其他項目之間的交互,是否會由于適配性等問題導致安全風險,比如與通縮代幣的交互等。
由于Uniswap的流動性大,且其分叉項目廣泛,該漏洞的影響的項目除了UniswapV2之外,還包括SushiSwap,BSC鏈上的PancakeSwap等。
非法獲利交易數量
根據我們初步統計,僅在以太坊上惡意地址,總共獲利就超出1000ETH。下面附上部分地址及相關不當獲利情況統計(以ETH計價,粗略統計,當前ETH價格約為2600美元(2021)。
上文提到的UniswapV2中采用balanceOf(address(this))實現的移除流動性的函數,除了removeLiquidityETHSupportingFeeOnTransferTokens(),還有另一種函數內部調用了前面所說函數的實現——removeLiquidityETHWithPermitSupportingFeeOnTransferTokens(),即在特定情況下,這兩個函數的調用都可以實現不當得利。詳見UniswapV2Router02合約代碼。
各平臺合約地址及不當獲利交易舉例
Fei代幣地址:0x956F47F50A910163D8BF957Cf5846D573E7f87CA
Fei Incentive合約:0xfe5b6c2a87A976dCe20130c423C679f4d6044cD7
UniswapV2的 FEI/WETH交易池地址:0x94B0A3d511b6EcDb17eBF877278Ab030acb0A878
本文所用價格及TVL數據來源為coingecko及etherscan。
通縮代幣的介紹及可能給項目方帶來的安全風險詳見我們之前的攻擊報告——Sanshu Inu事件報告
References
?Router02:?https://etherscan.io/address/0x7a250d5630b4cf539739df2c5dacb4c659f2488d
?獲利地址:?https://etherscan.io/address/0x4d1d758f0966c6e6de873958e62788300c13f60e
?EthUniswapPCVController :?https://etherscan.io/address/0x7a165f8518a9ec7d5da15f4b77b1d7128b5d9188
?Uniswap官方文檔:?https://docs.uniswap.org/protocol/V2/reference/smart-contracts/router-01
Tags:ROUTEOUTTERSWAPRouter ProtocolBigMouthFrogCoinhuntersSingle Dog Swap Token
太長不看:遷移到 Arbitrum 很簡單。點擊此處,查看A rbitrum 測試網上的可組合 DeFi 生態系統。想在 Arbitrum 上開發產品嗎?快來告訴我們,我們會添加到控制面板上.
1900/1/1 0:00:00去中心化金融(DeFi)正在重新定義金融的未來,為金融應用提供動力的底層基礎設施正在發生重大轉變,它正在改變我們對權限和控制、透明度和風險的思考方式.
1900/1/1 0:00:00原標題:NFT 是否比 DeFi 更具發展前景?NFT 無疑是區塊鏈領域的熱點之一,而 DeFi 的不斷發展又帶了 DeFi + NFT 的新玩法.
1900/1/1 0:00:00Hepburn wholefoodles是在維多利亞的戴爾斯福德(Daylesford)的幾個朋友創辦的,他們希望不用去城里市場就能買到價格實惠的干貨和當地的新鮮食品.
1900/1/1 0:00:00投資者和球迷們還有一切可以應用DAO場景的地方真的想好了嗎?在web3和去中心化的構建中,有一個奇怪的方面,那就是改革金融基礎設施的熱情,這就是對過去改革失敗的東西重新改革.
1900/1/1 0:00:00北京時間06月29日凌晨02時03分起,最近因“借貸即挖礦”模式而備受關注DeFi 平臺 Balancer 上的 STA 和 STONK 兩個 ERC20 通縮代幣池遭到了黑客攻擊.
1900/1/1 0:00:00