慢霧：XCarnival NFT借貸協議漏洞分析_NFT

原文作者：九九，慢霧安全團隊

2022年6月27日，據慢霧區消息，XCarnival項目被曝出嚴重漏洞遭黑客攻擊并盜走3,087個ETH。XCarnival是一個ETH鏈上的NFT借貸項目，目前項目團隊正在修復漏洞并承諾會對受影響的用戶提供解決方案。慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

核心合約地址

P2Controller：

0x34ca24ddcdaf00105a3bf10ba5aae67953178b85

XNFT：

0x39360AC1239a0b98Cb8076d4135d0F72B7fd9909

xToken：

0x5417da20aC8157Dd5c07230Cfc2b226fDCFc5663

加密交易所Bitso宣布與Stellar建立合作伙伴關系:金色財經報道，總部位于拉丁美洲的加密貨幣交易所Bitso宣布與Stellar建立合作伙伴關系，以促進國際支付服務。 這意味著在Stellar網絡上運營的世界各地的公司將能夠在墨西哥、哥倫比亞和阿根廷進行交易。 該合作伙伴關系允許在Bitso與當地銀行系統直接連接的國家/地區通過Circle發行的穩定幣 USDC進行美元交易，為交易和金融包容性開辟新的可能性。[2023/7/22 15:51:21]

攻擊者EOA地址

0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a

攻擊合約地址

0xf70F691D30ce23786cfb3a1522CFD76D159AcA8d

0x234e4B5FeC50646D1D4868331F29368fa9286238

Amber Group上半年收入為2.5億美元，同比增長25%:9月21日消息，數字資產公司 Amber Group 公布了其 2022 年上半年的財務業績，收入為 2.5 億美元，同比增長 25%。在機構業務和交易業務的帶動下，所有核心業務領域均實現增長。隨著 Amber Group 專門針對高凈值人士的新產品組合 WhaleFin Club 的推出，該公司的消費業務 WhaleFin 的收入也出現了顯著增長。今年早些時候，Amber Group以30億美元估值完成2億美元融資，淡馬錫（Temasek）、紅杉中國（Sequoia China）、Pantera Capital和Tiger Global Management等參投。

本月早些時候消息稱，Amber Group近期開始裁員，部分團隊裁員超過50%。[2022/9/22 7:12:16]

0x7B5A2F7cd1cc4eEf1a75d473e1210509C55265d8

美眾議員：加密貨幣應該受SEC監管:9月4日消息，美國眾議員兼投資者保護小組委員會主席Brad Sherman在接受采訪時表示，國會不會很快出臺加密禁令，因為加密行業提供了很多競選和游說捐款，背后存在太多的權力糾葛。他認為，在沒有禁令的情況下，加密貨幣應該由美國證券交易委員會（SEC）進行監管。“由于SEC的規模、專業知識、積極的執法行動以及加密貨幣與股票或證券的相似性，加密貨幣應該受到SEC的監管。”（泰晤士報）[2022/9/4 13:08:00]

0xc45876C90530cF0EE936c93FDc8991534F8A6962

漏洞核心點分析

1.攻擊者通過XNFT合約中的pledgeAndBorrow函數來進行抵押NFT并借出xToken。

PlatON正式接入跨鏈錢包Coin98:6月1日消息，PlatON宣布與跨鏈錢包Coin98達成合作，并已接入Coin98 Super App。Coin98將在PlatON高性能公鏈及生態系統中提供一站式無縫跨鏈體驗，雙方將憑借在Web3和隱私數據安全領域的豐富經驗，為200余萬用戶提供GameFi、NFT、DeFi等應用入口。[2022/6/1 3:56:51]

在pledgeInternal函數中轉入NFT并生成訂單：

2.接著調用withdrawNFT函數提取出質押的NFT，其中首先判斷該訂單是否被清算狀態，如果不是則判斷該訂單的狀態是否為NFT還未被提取且借款金額為0，如果通過即可提取抵押的NFT。

3.以上為攻擊前生成訂單的準備操作，接著攻擊者開始利用生成的訂單直接調用xToken合約中的borrow函數進行借款。

在borrowInternal函數中，會外部調用controller合約中的borrowAllowed函數來判斷是否可以借款。

可以看到在borrowAllowed函數會調用orderAllowed函數進行訂單相關信息的判斷，但是在這兩個函數中均沒有進行_order.isWithdraw狀態的判斷。因此攻擊者可以利用之前生成的訂單來調用XToken的borrow函數來借款，而因為抵押的NFT在之前已經被提出，故攻擊者可以不用還款來實現獲利。

攻擊交易分析

此處僅展示其中一筆攻擊交易的細節，其余攻擊交易的手法均一致，不再贅述。

攻擊前準備——生成訂單的交易：

0x61a6a8936afab47a3f2750e1ea40ac63430a01dd4f53a933e1c25e737dd32b2f

1.首先攻擊者將NFT轉入攻擊合約并進行授權，接著調用xNFT合約中的pledgeAndBorrow函數在進行抵押NFT生成訂單并借款的操作，此處需要注意一點是該函數可以控制傳入的xToken，攻擊者傳入了自己構造的xToken合約地址，并且讓借款數量為0，目的是為了滿足后續能成功提出NFT時的不被清算且負債為0的條件。

2.攻擊者緊接著調用withdrawNFT函數來進行提取抵押的NFT：

正式攻擊交易：

0x51cbfd46f21afb44da4fa971f220bd28a14530e1d5da5009cfbdfee012e57e35

攻擊者調用xToken合約的borrow函數，傳入之前生成的訂單的orderID，重復了該操作22次，而因為NFT在準備階段已經提走，估計無需還款以此來獲利。

總結

本次漏洞的核心在于借款的時候，沒有進行訂單中NFT是否被提走的狀態的判斷，導致攻擊者可以在把NFT提走之后再利用之前生成的訂單來借款而無需還款，以此來獲利。針對此類漏洞，慢霧安全團隊建議在進行借款操作時應做好訂單狀態中是否已經提走抵押品的判斷，避免再次出現此類問題。

來源：金色財經

Tags：NFTBORROWXTOKENDNFTBOREDM幣SQUIDGROW價格supertxtoken

中幣下載