Definer預言機攻擊事件分析-ODAILY_DEF

前言

北京時間12月13日，知道創宇區塊鏈安全實驗室關注到針對Definer預言機的攻擊事件。

作為第三方區塊鏈安全機構，受Definer、Cherryswap和OEC組成的調查小組邀請參與本次攻擊事件的技術調查工作。實驗室第一時間啟動應急，跟蹤本次事件進行分析并出具調查報告。

分析

tx：

https://www.oklink.com/en/oec/tx/0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a?tab=4

FTX.US前總裁創立的DeFi平臺Architect完成500萬美元融資:金色財經報道，FTX.US前總裁 Brett Harrison 已經為一家新公司籌集了 500 萬美元，該公司的目標是從事去中心化金融交易的機構。Anthony Scaramucci、Coinbase Ventures 和 Circle Ventures 等參投。[2023/1/20 11:23:52]

攻擊者信息

攻擊tx：0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a

攻擊合約：0x05806559f7f7732f2d3e71bca2eb12eab1938ceb

被攻擊池信息

Cardano鏈上交易額接近700億美元，DeFi鎖倉量突破4億美元:3月23日消息，據Messari數據顯示，Cardano鏈上交易額已接近700億美元，超過了比特幣（159億美元）和以太坊（360億美元）網絡。此外，據DeFiLlama數據顯示，在Minswap和SundaeSwap等AMM DEX的推動下，Cardano網絡DeFi總鎖倉量突破4億美元，其中Minswap鎖倉量達到1.88億美元，SundaeSwap鎖倉量為1.13億美元。[2022/3/23 14:12:39]

USDT池：0xc1b02e52e9512519edf99671931772e452fb4399

OKB池：0xd63b340F6e9CCcF0c997c83C8d036fa53B113546

DeFi協議Minterest完成650萬美元融資:9月17日消息，DeFi協議Minterest完成650萬美元融資。此次投資方包括KR1、digisstrats、Bitscale capital、PNYX Ventures、CMT Digital等多家風投公司。Minterest打算用這筆資金開發借貸協議，據稱該協議旨在讓DeFi對用戶更加公平。根據聲明，Minterest將所有運營盈余自動回購成生態原生的MNT代幣并分發給用戶。（Cointelegraph）[2021/9/17 23:32:11]

BTCK池：0x33a32f0ad4aa704e28c93ed8ffa61d50d51622a7

ETHK池：0x75dcd2536a5f414b8f90bb7f2f3c015a26dc8c79

DeFi 概念板塊今日平均漲幅為0.95%:金色財經行情顯示，DeFi 概念板塊今日平均漲幅為0.95%。47個幣種中23個上漲，24個下跌，其中領漲幣種為：WAVES(+29.89%)、BAL(+12.39%)、MKR(+9.94%)。領跌幣種為：HDAO(-15.03%)、FOR(-8.38%)、WICC(-6.75%)。[2021/5/4 21:22:11]

攻擊流程

合約方面調用流程

1、攻擊合約0x058065調用CherrySwap的FlashSwap功能進行閃電貸，貸出了CHE/OKB池子中幾乎全部的CHE。此時池子僅剩極少量CHE

2、抵押給Definer借款來的1000個CHE，Definer預言機計算價格依賴CherrySwap池中兩種代幣的余額比例，導致Definer預言機計算1000個CHE價格失準，1000個CHE的價值被認為極大值。

Gate.io鎖倉GT享DeFi挖礦收益理財第三期將于9月10日上線:據官方公告，Gate.io平臺“理財寶”DeFi理財產品，鎖倉GT享DeFi挖礦收益理財第三期將于9月10日（下周四）12點上線，總額度仍為1000萬GT。本期將根據推薦拉新情況分配額度，不受GT最低持倉限制。

據悉，Gate.io團隊將拿出約2000萬美金價值的區塊鏈資產用于DeFi流動性挖礦，投資所得的收益將全部回饋給用戶。目前前兩期GT鎖倉理財均在上線后短時售罄。[2020/9/3]

3、攻擊者借出USDT池子約462,318個USDT

4、攻擊者借出OKB池子約37,172個OKB

5、攻擊者借出BTCK池子約3個BTCK

6、攻擊者借出ETHK池子約8個ETHK

7、攻擊者通過CherrySwap的CHE/USDT池子利用10,000個USDT換出30,765個CHE

8、歸還CherrySwap閃電貸1,575,093個CHE

漏洞細節

根據Definer各合約部署地址(https://docs.definer.org/deployed-contracts/addresses)，由于預言機實現過程通過CherrySwap池子的兩個Token在池子的余額來判斷價格：

預言機實現過程中沒有考慮到閃電貸貸出時余額大量減少的情況，導致了Definer項目方預言機計算失準，從而導致了該事件。

以USDT池子為例:

從具體Transaction中我們跟進到SavingAccount合約的邏輯合約0xc1b02e52e9512519edf99671931772e452fb4399#priceFromAddress

在該函數中使用AggregatorInterface(tokenInfo.chainLinkOracle)的預言機來詢價

排查獲取AggregatorInterface中具體調用地址發現，其映射變量位于TokenRegistry合約：

而TokenRegistry的合約部署地址根據官方的deployed-contracts/addresses可知位于0x0E16Ada9C4Cf95d6722c65504555124A241DdA81

在該地址通過對CHE代幣地址0x8179d97eb6488860d816e3ecafe694a4153f216c查詢得到對應使用的預言機：

該地址即為存在漏洞的預言機地址：

總結

本次事件是由于Definer在OEC對于預言機的實現存在問題，使用了單一流動池在一個時間點的池內代幣余額作為價格源從而導致了事故的發生，而以太坊的實現則使用了ChainLink的預言機不存在該問題。

Tags：DEFDEFIEFICHERestaurant DeFidefibox幣有價值嗎Plenty DeFiIncooom Genesis Psychedelic

XLM