ETH:慢霧：詳解 Uniswap 的 ERC777 重入風險_TOKEN

前言

4 月 18 日，Tokenlon 宣布暫停 imBTC 轉賬，因其發現有攻擊者通過 ERC777 在 Uniswap 流動性合約中的重入漏洞，對 ETH-imBTC 池循環套利。此次的攻擊手法是一個存在于 Uniswap v1 上的已知漏洞，該漏洞最早由 Consensys 于 2019 年 4 月發現，當時 Consensys 只是發現了該風險，還沒有發現可以利用這種手法進行攻擊的 token。隨后，在 imBTC 上線 Uniswap 后，由于 imBTC 是基于 ERC777 實現的，通過組合 ERC777 的特性及 Uniswap 代碼上的問題，使攻擊者可以通過重入漏洞實現套利。下面，我們將來分析此次套利中的攻擊手法和具體的細節。

知識準備

ERC777 協議是以太坊上的代幣標準協議，該協議是以太坊上 ERC20 協議的改進版，主要的改進點如下：

1. 使用和發送以太相同的理念發送 token，方法為：send(dest, value, data)

2. 合約和普通地址都可以通過注冊 tokensToSend hook 函數來控制和拒絕發送哪些token（拒絕發送通過在hook函數tokensToSend 里 revert 來實現）

慢霧：從Multichain流出的資金總額高達2.65億美元，分布在9條鏈:金色財經報道，自7月7日以來，從 Multichain 流出的資金總額高達 2.65 億美元，分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結，1,296,990.99 ICE（約 162 萬美元） 被 Token 發行方 Burn。流出的資金中，包括：

1）從 Multichain: Old BSC Bridge 轉出的 USDT；

2）從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC；

3）從 Anyswap: Bridge Fantom 轉出的 BIFI；

4）從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC；

5）從 MultiChain: Doge Bridge 轉出的 USDC；

6）從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等；

7）從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH，同時我們認為該標記（Fake Phishing183873）或許是 Etherscan 上的虛假標記，地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]

3. 合約和普通地址都可以通過注冊 tokensReceived hook 函數來控制和拒絕接受哪些token（拒絕接受通過在hook函數tokensReceived 里 revert 來實現）

慢霧：昨日MEV機器人攻擊者惡意構造無效區塊，建議中繼運營者及時升級:金色財經報道，慢霧分析顯示，昨日MEV機器人被攻擊的問題原因在于即使信標區塊不正確，中繼仍將有效載荷（payload）返回給提議者，導致了提議者在另一個區塊被最終確定之前就能訪問區塊內容。攻擊者利用此問題，惡意構造了無效的區塊，使得該區塊無法被驗證，中繼無法進行廣播（狀態碼為202）從而提前獲得交易內容。mev-boost-relay昨日已緊急發布新版本緩解此問題，建議中繼運營者及時升級中繼。

據此前報道，昨日夾擊MEV機器人的惡意驗證者已被Slash懲罰并踢出驗證者隊列。[2023/4/4 13:43:37]

4. tokensReceived 可以通過 hook 函數可以做到在一個交易里完成發送代幣和通知合約接受代幣，而不像 ERC20 必須通過兩次調用（approve/transferFrom）來完成

5. 持有者可以"授權"和"撤銷"操作員（operators: 可以代表持有者發送代幣） 這些操作員通常是（去中心化）交易所、支票處理機或自動支付系統

6. 每個代幣交易都包含 data 和 operatorData 字段， 可以分別傳遞來自持有者和操作員的數據

慢霧：Rubic協議錯將USDC添至Router白名單，導致已授權合約用戶USDC遭竊取:12月25日消息，據慢霧安全團隊情報，Rubic跨鏈聚合器項目遭到攻擊，導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下：1. Rubic是一個DEX跨鏈聚合器，用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前，會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。

2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用，調用數據也由用戶外部傳入。

3. 不幸的是USDC也被添加到Rubic協議的Router白名單中，因此任意用戶都可以通過RubicProxy合約任意調用USDC。

4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。

此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中，導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]

7. 可以通過部署實現 tokensReceived 的代理合約來兼容沒有實現tokensReceived 函數的地址

慢霧：警惕QANX代幣的雙花攻擊風險:據慢霧區消息，近期存在惡意用戶利用QANX代幣的轉賬鎖定、解鎖功能(transferLocked/unlock)觸發的事件記錄與正常使用transfer功能轉賬觸發的Transfer事件記錄相同而進行雙花攻擊。

慢霧安全團隊建議已上架此幣種的平臺及時自查，未上架的平臺在對接此類幣種時應注意以上風險。

QANX: 0xaaa7a10a8ee237ea61e8ac46c50a8db8bcc1baaa[2022/3/26 14:18:46]

在這里，我們需要特別關注的點是第二點，即 ERC777 標準中的 tokenToSend 函數，根據 ERC777 協議的定義，遵循該標準的 token 代幣在每一次發生代幣轉賬的時候都會去嘗試調用代幣發送者 tokensToSend 函數，而代幣持有者可以通過在 ERC1820 注冊合約注冊自己的合約并通過在這個 hook 函數中定義一些操作來處理代幣轉賬的過程中的某些流程，如拒絕代幣發送或其他操作。

了解這些關鍵點，有助于我們理解這次攻擊的具體攻擊手法。現在開始，我們可以稍微加速，看看對于 Uniswap 而言，這次到底發生了什么？

聲音 | 慢霧：ETDP錢包連續轉移近2000 ETH到Bitstamp交易所，項目方疑似跑路:據慢霧科技反洗錢(AML)系統監測顯示，自北京時間 12 月 16 日凌晨 2 點開始，ETDP 項目方錢包(地址 0xE1d9C35F…19Dc1C3)連續轉移近 2000 ETH 到 Bitstamp 交易所，另有 3800 ETH 分散在 3 個新地址中，未發生進一步動作。慢霧安全團隊在此提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。[2019/12/16]

細節分析

通過 Etherscan 查詢攻擊者的其中一筆交易 0x32c83905db61047834f29385ff8ce8cb6f3d24f97e24e6101d8301619efee96e

可以發現，攻擊者兩度向 Uniswap 合約轉帳 imBTC，金額同樣是 0.00823084，然后從 Uniswap 收取了兩筆 ETH，看上去似乎是十分正常的兩筆交易，實際上卻是暗流涌動，另有玄機。為了更好的了解整一筆交易的細節，我們需要通過 bloxy.info 來查看交易的具體細節。

通過查詢交易的細節，我們發現，攻擊者首先是通過 ethToTokenSwapInput 函數向 Uniswap 兌換了一些 imBTC，然后再通過 tokenToEthSwapInput 函數開始第一次用 imBTC 換取 ETH，然后 Uniswap 先將 ETH 轉給了攻擊者，再調用 imBTC 的 transferFrom 函數，由于 imBTC 實現了 ERC777 標準，所以在調用 imBTC 的 trasferFrom 函數的時候， imBTC 會對攻擊者的 tokensToSend 函數進行調用。隨后，在攻擊者的 tokensToSend 函數中，攻擊者會進行第二次用 imBTC 換取 ETH，然后流程結束。

從交易細節上看，這里似乎還是沒有什么問題，我們繼續跟蹤 UniSwap 的代碼。

上面是代碼是 Uniswap 的 ethToTokenSwapInput 函數的代碼，根據代碼分析， Uniswap 的 ethToTokenSwapInput 函數會調用 ethToTokenInput 函數，然后會先通過 getInputPrice 獲取代幣能換取的 eth 數量，之后通過 send 函數將 eth 發給用戶，最后再通過 transferFrom 把代幣轉進合約。我們繼續跟進 getInputPrice 函數。

通過分析 getInputPrice 函數，我們能知道，ETH 獲取量計算的公式為

把該公式放到 ethToTokenInput 函數的上下文中，該公式就變成了

在該公式下，一次正常的 imBTC 兌換 ETH 的過程中，作為分母的 imBTC 儲備量在兌換過后應該要上升，對應的 ETH 儲備量會變小。

但是回顧攻擊者的操作方式，在攻擊者第一次發送 imBTC 兌換 ETH 的過程中，Uniswap 會先發送 ETH 給攻擊者，這時候 Uniswap 中 ETH 儲備量減少，然后 Uniswap 調用 transferFrom 函數，(注意此時還未將攻擊者的 imBTC 扣除)， 緊接著在 transferFrom 函數中攻擊者調用的第二次的 ethToTokenSwapInput 時，通過 getInputPrice 獲取兌換的 ETH 數量的公式會變成這樣：

注意看，在第二次的兌換計算中，只有 ETH 的儲備量變少了，而 imBTC 的儲備量并未增加，這導致相比與單獨的調用 ethToTokenSwapInput 函數，攻擊者可以通過重入的方式，在第二次使用 imBTC 兌換 ETH 的過程中，使計算公式的分子發生了變化，而公式的分母不會發生變化。相比正常的兌換，攻擊者通過重入方式進行的第二次兌換會獲取微小的利潤，導致有利可圖。重復這樣的過程，就能通過等量的 imBTC 獲取更多的 ETH，導致 Uniswap 做事商的損失。

防御方法

1. 在 Uniswap 的 tokenToEthSwapInput 函數中加入 OpenZeppelin 的 ReentrancyGuard 函數，防止重入問題。

2. 在進行代幣交換的時候，先扣除用戶的代幣，再將 ETH 發送給用戶。

同時，針對本次攻擊事件慢霧安全團隊建議：

1. 在關鍵的業務操作方法中加入鎖機制，如：OpenZeppelin 的 ReentrancyGuard

2. 開發合約的時候采用先更改本合約的變量，再進行外部調用的編寫風格

3. 項目上線前請優秀的第三方安全團隊進行全面的安全審計，盡可能的發現潛在的安全問題

4. 多個合約進行對接的時候也需要對多方合約進行代碼安全和業務安全的把關，全面考慮各種業務場景相結合下的安全問題

5. 合約盡可能的設置暫停開關，在出現“黑天鵝”事件的時候能夠及時發現并止損

6. 安全是動態的，各個項目方也需要及時捕獲可能與自身項目相關的威脅情報，及時排查潛在的安全風險

最后的思考

這兩天的 DeFi 世界被鬧得沸沸揚揚，imBTC 作為 ERC777 代幣首當其沖，ERC777 協議也飽受詬病，但是看完分析，造成此次的攻擊事件原因，真的是 imBTC 或者是 ERC777 協議的問題嗎？

如果 Uniswap 做好了 ERC777 的兼容，使用 ReentrancyGuard，并在代幣交換的時候先扣除用戶的代幣，再將 ETH 發送給用戶，這樣的問題是不是就不會發生？

imBTC 作為 以太坊上 token 化的比特幣代幣協議，其安全性在自身單獨運行的時候并不存在問題，第三方 DeFi 平臺在接入的時候，應需要充分考慮平臺本身的業務邏輯與接入代幣之間的兼容性，才能避免因兼容性發生不必要的安全問題。而不是簡單的將問題歸咎于協議和代幣提供方。

Tags：ETHBTCKENTOKENETHYbtc幣價格今日行情Black TokenRemix Token

比特幣價格實時行情