9月12日,知道創宇區塊鏈安全實驗室監測到Avalanche上的DeFi協議?ZabuFinance項目遭受閃電貸攻擊。實驗室第一時間跟蹤本次事件并分析。
攻擊合約
攻擊合約1:
0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400
攻擊合約2:
0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd
漏洞合約
ZABUFarm:
0xf61b4f980a1f34b55bbf3b2ef28213efcc6248c4
參議員Elizabeth Warren敦促美國國會和SEC加強加密監管:金色財經報道,在幾家加密公司申請破產保護后,美國參議員Elizabeth Warren表達了對加密貨幣投資的擔憂,并敦促美國國會和證券交易委員會(SEC)采取行動,加強加密監管。沃倫表示,需要制定更加強有力的規則來確保消費者保護和金融穩定。[2022/7/19 2:23:39]
SPORE:
0x6e7f5c0b9f4432716bdd0a77a3601291b9d9e985
漏洞成因分析
漏洞產生原因在于Defi協議與代幣協議之間的不兼容,其不兼容主要是zabuFarm合約質押功能與spore合約轉賬功能出現沖突,下面從雙方功能實現邏輯來分析沖突。
Uniswap創始人:歷史將證明Elizabeth Warren針對DeFi的言論是錯誤的:12月15日消息,Uniswap創始人Hayden Adams在社交媒體上發文表示,參議員Elizabeth Warren針對DeFi和Stablecoin的言論簡直是大錯特錯。因為DeFi是Web3的透明金融基礎設施,和傳統Web2時代的企業不一樣,Web3為藝術家、游戲玩家、作家、建設者、記者和其他創作者賦能,也為他們提供了協調、擁有、變現和交換他們直接創造的價值的工具,幫助他們消除對當前互聯網上有害、封閉的生態系統的依賴。
Hayden Adams同時表示,我們目前尚處于早期,所以在邊緣地帶有些粗糙,但DeFi是使以上這一切成為可能的支柱。而那些從封閉生態系統中提取價值的傳統利益團體很樂意看到它失敗。歷史將最終證明,ElizabethWarren今天對Web3和DeFi的誤導性攻擊是錯誤(和失敗)的言論。(Stablecoin)。[2021/12/15 7:41:35]
zabuFarm合約質押功能
聲音 | Nick Szabo:層級組織的區塊鏈項目總處于中心化狀態:智能合約之父Nick Szabo今日表示:“我發現那些由層級組織(比如由風投投資的公司)推出的區塊鏈項目總會處于中心化的狀態中,這會破壞區塊鏈的中心價值,即信任最小化。”[2018/7/20]
zabuFarm合約質押功能由函數deposit實現
簡述deposit函數實現邏輯:
1.由傳參_pid獲取對應礦池信息與用戶信息
2.更新_pid對應礦池信息,當用戶賬戶不為0向用戶發送質押已產生獎勵
3.將傳參_amount數量的代幣從函數調用者轉移到該合約
4.更新用戶添加的代幣以及最新獎勵狀態5.觸發質押事件。
spore合約轉賬功能
spore合約轉賬功能由函數_transferStandard實現(ps:_transferStandard函數是zabuFarm合約質押功能轉賬時調用的函數)
簡述_transferStandard函數實現邏輯:
1.由傳參tAmount通過_getValues函數獲取五個值,分別是rAmount實際轉賬數量,rTransferAmount收費后轉賬數量,rFee實際費用,tTransferAmount初始轉賬數量,tFee初始費用
2.對相應賬戶進行實際轉賬代幣數量更新
3.通過_reflectFee函數進行費用記錄更新
由此我們可以發現?zabuFarm合約質押功能與spore合約轉賬功能出現沖突的本質在于deposit函數僅是對用戶傳入轉賬金額_amount?做用戶賬戶更新記錄,而不是對_transferStandard?函數在收取費用后實際轉賬做用戶賬戶更新記錄,導致實際收款小于賬戶記錄,俗稱虧本買賣。
簡述攻擊過程
1.利用攻擊合約10x0e65,將WAVAX代幣通過Pangolin置換成SPORE代幣,并質押到ZABUFarm合約中;
2.通過攻擊合約2?0x5c9A從Pangolin閃電貸借出SPORE代幣,并利用SPORE代幣不斷在ZABUFarm?合約進行質押-提現的操作,消耗原本屬于ZABUFarm合約的SPORE代幣,由于ZABUFarm合約是通過SPORE?代幣總量計算獎勵,攻擊合約10x0e65會獲得巨額ZABU代幣獎勵;
3.最后取出質押SPORE代幣,歸還閃電貸,拋售ZABU代幣獲利。
總結
此次攻擊屬于defi協議與代幣協議之間不兼容導致的,迄今為止此類攻擊事件已發生數次,知道創宇區塊鏈安全實驗室再次提醒,近期各鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。
本期投票上幣活動已圓滿結束,感謝廣大用戶的參與和支持。Gate.io投票上幣活動將持續帶來更多有潛力的優質項目,敬請期待.
1900/1/1 0:00:00尊敬的Bibox用戶: 為支持AQUAGOAT(mAQUAGOAT)項目智能合約升級,Bibox將于2021年9月16日14:00(UTC8)暫停原AQUAGOAT代幣交易.
1900/1/1 0:00:00CryptoArt.Ai在8月16日發起了加密藝術月-尋找創藝合伙人活動,一個月的時間,我們收到了眾多來自全球各地的藝術家作品.
1900/1/1 0:00:00Gate.io直播間作為行業內首個交易所內置直播功能,通過多樣性的直播形式為平臺用戶帶來具有深度、有趣、開放的信息內容.
1900/1/1 0:00:00親愛的大幣網(Dcoin)用戶:大幣網(Dcoin)已恢復TRC20的充值,暫停期間給您帶來的不便,敬請諒解.
1900/1/1 0:00:00撰文:GraemeBoy,Mirror.xyz項目首席技術官編譯:PerryWangNounsDAO是一個NFT項目,它將偽隨機生成圖像,并結合拍賣、社區治理和一種新穎的渲染技術.
1900/1/1 0:00:00