ETHER:假幣的換臉戲法：技術拆解 THORChain 跨鏈系統“假充值”漏洞_Chainlist

據慢霧區消息，2021 年 6 月 29 日，去中心化跨鏈交易協議 THORChain 發推稱發現一個針對 THORChain 的惡意攻擊，THORChain 節點已作出反應并進行隔離和防御。慢霧安全團隊第一時間介入分析，經分析發現，這是一起針對跨鏈系統的“假充值”攻擊，結果分享如下：

什么是“假充值”？

當我們在談論“假充值”攻擊時，我們通常談的是攻擊者利用公鏈的某些特性，繞過交易所的充值入賬程序，進行虛假充值，并真實入賬。

隨著 RenVM、THORChain 等跨鏈服務的興起，跨鏈節點充當起了交易所的角色，通過掃描另一條公鏈的資產轉移情況，在本地公鏈上生成資產映射。THORChain 正是通過這種機制，將以太坊上的代幣轉移到其它公鏈。

dYdX官方：市場上出現dYdX假幣售賣，謹防上當受騙:dYdX平臺上線以來，隨著De-Fi熱度的持續增高，用戶對于dYdX平臺通證的期待也越來越高。但是近期發現有人冒充官方人員在市場上?進行dYdX平臺通證售賣的現象。

dYdX官方特此聲明，目前還未有發幣計劃，且從未對外進行售賣平臺通證額度以及系列募資行為。

dYdX官方謹此呼吁所有愛好者特別注意，dYdX暫無發幣計劃，請不要參與任何dYdX平臺幣投資行為，謹防上當受騙，造成資金受損。[2021/2/10 19:25:39]

漏洞分析

我們從業務邏輯入口去追蹤分析此漏洞的成因。

首先看到在處理跨鏈充值事件時，調用了 getAssetFromTokenAddress 方法去獲取代幣信息，并傳入了資產合約地址作為參數：

波卡生態項目Acala：此前ACA假幣騙局是網站Bug目前已被修正:9月23日，波卡生態項目Acala官方再次發推，對此前Uniswap上的ACA假幣騙局作出聲明。官方表示，現已被告知ACA假幣是網站網站Bug，目前已被修正。官方再次提醒稱，用戶需保持警惕。此前9月7日及15日，Acala官方兩次發推提醒稱，官方還沒有發行ACA代幣，用戶需警惕Uniswap上的ACA假幣。[2020/9/23]

- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go?

動態 | TronBank遭假幣攻擊 1小時內被盜約1.7億枚BTT:據DappReview監測，TronBank于凌晨1點遭到假幣攻擊，1小時內被盜走約1.7億枚BTT（價值約85萬元）。監測顯示，黑客創建了名為BTTx的假幣向合約發起“invest”函數，而合約并沒有判定發送者的代幣id是否與BTT真幣的id1002000一致。因此黑客拿到真幣BTT的投資回報和推薦獎勵，以此方式迅速掏空資金池。TronBank的BTT投資產品于4月10日晚10點正式開放，僅三小時內總投資額超過2億枚BTT，此前該項目的TRX投資產品最高資金池余額超過2.6億枚TRX。目前TronBank開發者尚未對此事做出回應，網站也并沒有及時關閉，仍有不明真相的群眾進入投資，但他們投入的BTT會被黑客提走。[2019/4/11]

在 getAssetFromTokenAddress 方法里，我們看到它調用了 getTokenMeta 去獲取代幣元數據，此時也傳入了資產合約地址作為參數，但在此處有一個定義引起我們的警覺，在初始化代幣時，默認賦予了代幣符號為 ETH，這就是漏洞的關鍵點之一：asset := common.ETHAsset，如果傳入合約地址對應的代幣符號為 ETH，那么此處關于 symbol 的驗證將被繞過。

精選 | Newdex回應EOS假幣事件 用戶利益并未受到傷害:Newdex今日針對假EOS攻擊事件作出回應，媒體對于事件造成平臺用戶蒙受5.8萬美元損失的報道與事實不符。事件中，Newdex及時啟動應急措施，完成漏洞修復并發布公告。平臺承擔全部損失，用戶資產并未受損。肇事黑客全數歸還IQ、ADD，其轉入Bitfinex交易所的資產已被凍結。[2018/9/20]

- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

繼續驗證我們的猜測，我們看到當代幣地址在系統中不存在時，會從以太坊主鏈上去獲取合約信息，并以獲取到的 symbol 構建出新的代幣，此時所有的漏洞成因都已經顯現：

- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

- bifrost/pkg/chainclients/ethereum/tokens_db.go

- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

總結一下，首先是由于錯誤的定義，如果跨鏈充值的 ERC20 代幣符號為 ETH，那么將會出現邏輯錯誤，導致充值的代幣被識別為真正的以太幣 ETH。

還原攻擊真相

我們來看一筆攻擊交易的執行過程，可以提取出充值的代幣合約地址：

我們在 Etherscan 上查看這個代幣合約地址：

發現這個地址對應的合約的代幣符號正是 ETH，攻擊者正是通過部署了假幣合約，完成了這次跨鏈假充值。

漏洞修復

漏洞補丁：

項目方在發現攻擊后快速對代碼進行了修復，刪除了默認的代幣類型，使用 common.EmptyAsset 進行空代幣定義，并在后續邏輯中使用 asset.IsEmpty() 進行判斷，過濾了沒有進行賦值的假充值代幣。

總結

幸運的是項目方及時發現了本次攻擊，未造成巨額財產損失，但作為跨鏈系統，未來可能聚集巨額的多鏈資金，安全性不容忽視，因此慢霧安全團隊建議在進行跨鏈系統設計時應充分考慮不同公鏈不同代幣的特性，充分進行“假充值”測試，做好狀態監控和預警，必要時可聯系專業安全公司進行安全審計。

Tags：ETHETHERAINETHEDiversified Staked Ethereum Indextogetherbnb劇情到哪了ChainlistVital Ethereum

NEAR