By:Kong@慢霧安全團隊
據慢霧區消息,2021年10月27日,CreamFinance再次遭受攻擊,損失約1.3億美金,慢霧安全團隊第一時間介入分析,并將簡要分析分享如下。
攻擊核心
本次攻擊的核心在于利用Cream借貸池對抵押物價格獲取的缺陷,惡意操控拉高了其抵押物的價格,使得攻擊者可以從Cream借貸池借出更多的代幣。
攻擊細節
首先攻擊者從DssFlash中閃電貸借出5億個DAI,隨后將借出的5億個DAI抵押至yearn的yDAI池中,以獲得約4.5億個yDAI憑證。
隨后攻擊者將獲得的yDAI代幣在Curve的yDAI/yUSDC/yUSDT/yTUSD池子中進行單幣流動性添加,以獲得相應的流動性憑證。緊接著攻擊者就將獲得的憑證抵押到yUSD池子中以獲得yUSD憑證,為后續在CreamcrYUSD借貸池中抵押做準備。
Zhu Su:三箭資本的頭寸和賬戶細節曾被FTX HK員工Clement泄露:11月15日消息,三箭資本聯合創始人Zhu Su發推文稱,FTX HK的職員Clement在過去一年中向許多人泄露了三箭資本的頭寸和賬戶細節。具有諷刺意味的是,現在有很多人向他追債。目前Clement剛從巴哈馬抵達香港。
此前報道,11月13日,三箭資本聯合創始人Kyle Davies在其個人社交媒體平臺發文稱,今年5月時,LUNA暴雷后的一系列事件讓其極為震驚。如今他了解到,LUNA風波中其頭寸遭FTX或Alameda獵殺,最終導致其損失自身和LP/債權人的全部資金[2022/11/15 13:07:00]
之后攻擊者開始向Cream的crYUSD借貸池中抵押其獲得yUSD憑證,為了擴大其抵押規模,攻擊者從AAVE閃電貸借出約52.4萬個WETH,并將其抵押到Cream的crETH池子中。
分布式存儲項目Filecoin公布代幣經濟模型細節:分布式存儲項目Filecoin(FIL)正式發布了一份長達32頁的Filecoin經濟報告,詳細闡述了代幣經濟模型設計的原理和細則。按照Filecoin代幣分配細則,Filecoin代幣總量為20億枚,5%分配給Filecoin基金會,10%用于融資,15%分配給協議實驗室,70%分配給礦工。代幣總量的15%(占礦工獎勵的21.4%)將被作為挖礦儲備金,以在未來激勵檢索礦工和其他類型的礦工,具體使用方式以后由社區通過Filecoin改進提案(FIP)共同決定。Filecoin網絡引入了區塊獎勵基準鑄造的概念,通過估算網絡效用發放代幣,改變了純粹地基于時間的推移來鑄造代幣的傳統方法。Filecoin團隊還表示,未來可能推出維修礦工、應用礦工、Filecoin借貸和通用智能合約等新功能。此前曾報道,Filecoin主網啟動時間為9月中下旬,預計將在9月下旬發放FIL代幣。[2020/8/28]
動態 | Blockstream工程師公布閃電網絡漏洞全部細節:閃電網絡上個月底被發現安全漏洞。近日,開發了閃電網絡大部分協議的Blockstream工程師Rusty Russell公布了該漏洞的全部細節。根據披露,該漏洞正在創建和資助閃電網絡渠道。創建通道后,不需要通道的接收者來驗證資金交易輸出。由于閃電網絡協議不需要這種驗證,攻擊者可以聲稱打開了一個通道,但不向對等方支付,或者不支付全部金額。這使得攻擊者可以在不警告受害者的情況下,將資金花在與受害者一起創建的通道中。只有當受害者關閉與攻擊者的通道時,他們才會注意到通道之間提交的任何事務都是無效的。盡管閃電網絡開發人員已推送更新,但較舊的版本仍會受到影響,因此建議用戶升級。(The Block)[2019/9/28]
攻擊者通過在crETH池子中抵押大量ETH,來使得其有足夠的借貸能力將crYUSD池子中的yUSD全部借出并重復抵押到crYUSD池子中,隨后通過在crYUSD池子中進行循環貸以杠桿的形式擴大了本身在crYUSD池子中yUSD的抵押規模,為后續操控價格獲利做準備。
動態 | Telegram Dapp開發團隊透露Ton網絡細節:計劃使用分片擴展交易 網絡有四種參與角色:據Button Wallet官方博客,其將成為Telegram新的區塊鏈Telegram Open Network(TON)上首批推出的分散式應用程序之一。文章表示,TON團隊非常擅長編寫代碼,并且計劃使用分片來擴展用戶之間的交易。TON將有一個主鏈(masterchain)和分鏈(shardchains)。每個分片都是一個區塊鏈,允許與另一個分片進行通信。此外,文章指出,TON的靈感來自于PolkaDot,并將以太坊2.0的原則與分片和Polkadot相結合。TON網絡的參與者有四種角色:驗證者(Validator)、提名者(Nominator )、收集者(Collator )和漁夫(Fisherman),該設計旨在鼓勵驗證者按照網絡的利益行事,并僅發布有效的交易。此外,Button Wallet表示,目前已經啟動了TON lite客戶端并在之后將示例智能合約部署到測試網。(CCN)[2019/5/28]
動態 | 幣安公布區塊鏈慈善基金會運作細節:據bitcoinexchangeguide消息,趙長鵬今天在推特上公布了區塊鏈慈善基金會(BCF)如何運作以及區塊鏈技術如何應用的博客文章。該博客文章概述了一個三到四層的捐贈跟蹤系統計劃,該系統的各個層面將包括:捐助者、區塊鏈慈善基金會慈善項目、慈善合作伙伴以及最終的受益者。使用區塊鏈技術,BCF能夠跟蹤從捐贈者流向最終目的地的資金,可以讓捐贈者更容易看到慈善機構的真實作為。幣安還設想了一個捐贈者可以選擇不同慈善計劃捐贈的系統,并可以選擇公開或匿名捐款。同時文章中還提到幣安目前正在為BCF計劃尋求合作伙伴和開發商。[2018/10/10]
隨后為了獲得yDAI/yUSDC/yUSDT/yTUSD4Pool憑證以操控價格,攻擊者用約1,873個ETH從UniswapV3中兌換出約745萬個USDC,并通過Curve3Pool將其兌換成DUSD代幣約338萬個。
接下來攻擊者通過獲得的DUSD代幣從YVaultPeak中贖回yDAI/yUSDC/yUSDT/yTUSD4Pool憑證,并利用此憑證從yUSD池子中取回yDAI/yUSDC/yUSDT/yTUSD代幣。
隨后攻擊者開始進行此次攻擊的關鍵操作,其將約843萬個yDAI/yUSDC/yUSDT/yTUSD代幣直接轉回yUSD池子中,由于其不是通過正常抵押操作進行抵押的,所以這843萬個yDAI/yUSDC/yUSDT/yTUSD代幣并沒有被單獨記賬,而是直接分散給了yDAI/yUSDC/yUSDT/yTUSD憑證的持有者,這相當于直接拉高了其share的價格。
在crToken中由于其抵押物價格被惡意拉高了,因此攻擊者抵押的大量yUSD可以使其借出更多的資金,最后攻擊者將Cream的其他15個池子全部借空。接下來我們跟進Cream的crToken借貸池中具體借貸邏輯。
從cToken合約中我們可以看到,主要借貸檢查在borrowAllowed函數中:
我們跟進borrowAllowed函數,可以看到在427行,其會根據getHypotheticalAccountLiquidityInternal函數檢查實時狀態下的該賬戶所對應的所有cToken的資產價值總和和借貸的資產價值總和,并通過對比cToken的資產價值和借貸的Token價值和,來判斷用戶是否還可以繼續借貸。
我們跟進getHypotheticalAccountLiquidityInternal函數,可以發現對于抵押物的價值獲取來自886行的oracle.getUnderlyingPrice。
我們跟進預言機的getUnderlyingPrice函數,可以容易的發現其將通過代幣150行的getYvTokenPrice函數進行價格獲取。
繼續跟進getYvTokenPrice函數,由于yvTokenInfo.version為V2,因此將通過yVault的pricePerShare函數進行價格獲取。
跟進pricePerShare可以發現其直接返回了_shareValue作為價格,而_shareValue是通過_totalAssets除合約的總share數量(self.totalSupply)來計算單個share的價格的。因此攻擊者只需要操控_totalAssets將其拉高就可以提高單個share的價格從而使得攻擊者的抵押物價值變高以借出更多的其他代幣。
我們可以查看下_totalAssets是如何獲取的,從772行我們可以很清晰的看到,_totalAssets是直接取的當前合約的yDAI/yUSDC/yUSDT/yTUSD代幣數量,以及抵押在策略池中的資產數額相加獲得的。因此攻擊者通過直接往yUSD合約中轉入yDAI/yUSDC/yUSDT/yTUSD代幣就可以拉高share價格從而完成獲利。
通過Ethtx.info可以清晰的看到pricePerShare前后變化:
最后攻擊者在借空其他池子后歸還了閃電貸獲利離場。
總結
本次攻擊是典型的利用閃電貸進行價格操控,由于Cream的借貸池在獲取yUSD池子share價格時直接使用了其pricePerShare接口,而此接口是通過合約的抵押物余額與策略池抵押資產數額相加除總share數來計算單個share的價格的。因此用戶直接往yUSD轉入抵押物就可以很容易的拉高單個share價格,最終使得Cream借貸池中抵押物可以借出更多的資金。
附:前兩次CreamFinance被黑分析回顧
慢霧:CreamFinance被黑簡要分析
Tags:USDSHAHARESHAREAave BUSDMirrored ProShares VIXESHARE價格SHARE幣
作者:全球知名風投機構A16z合伙人ChrisDixon 原文鏈接:A16z Web1.0是關于去中心化和社區管理的開放協議。大部分價值都歸于網絡的邊緣——用戶和建設者.
1900/1/1 0:00:00據Newsbitcoin消息,根據尼日利亞中央銀行發布的一份聲明,標志著e-naira推出的正式活動將在尼日利亞總統MuhammaduBuhari的官邸舉行.
1900/1/1 0:00:00元宇宙見聞原創作者|Eiffer編輯|Camila前情提要|比特幣期貨ETF:“真香”與“失望”并存?美國東部時間10月19日上午9點30分.
1900/1/1 0:00:00巴比特訊,10月22日,萊西市人民法院在普東看守所法庭,公開開庭審理被告人陳某、趙某、邱某某涉嫌組織、領導傳銷活動罪一案.
1900/1/1 0:00:00來源:財聯社丨區塊鏈日報 文?|李紅暉 成立不到半年,估值已達15億美元,CandyDigital背后究竟有什么? 10月20日.
1900/1/1 0:00:00所有的創新都旨在“開創性”,但很少真正有做到這一點的。互聯網做到了這一點,但是谷歌眼鏡沒有。什么是突破性技術?毛球科技董事長王明鎏認為,“突破性技術”應該能夠使世界更加緊密聯系,并且也能夠得到廣.
1900/1/1 0:00:00