CER:首發｜空手套以太：Balancer攻擊解析_Influencer

6月29日北京時間凌晨2點03分，CertiK天網系統 (Skynet) 檢查到在區塊10355807處Balancer DeFi合約異常，安全研究員迅速介入調查，攻擊過程浮出水面。

6月29日凌晨2點03分，攻擊者利用從dYdX閃電貸中借到的WETH，大量買進STA代幣，使得STA與其他代幣的兌換價格急劇上升。然后使用最小量的STA（數值為1e-18）不斷回購WETH，并在每次回購后，利用Balancer的合約漏洞重置其內部STA的數量（數值為1e-18），以此穩住STA的高價位。

攻擊者不斷利用漏洞，用高價的STA將某一種代幣完全買空（WETH，WBTC, LINK和SNX），最終用WETH償還閃電貸，并剩余大量STA,WETH，WBTC, LINK和SNX，并通過uniswap將非法所得轉移到自己賬戶中。此次攻擊約獲利90萬人民幣。

歐易OKX首發上線Optimism (OP):據官方消息，歐易OKX將于5月31日20:00(HKT)開放Optimism代幣OP充值，將于6月2日18:00(HKT)開放提現，平臺將在用戶充值數量符合開通交易的情況下第一時間上線交易。此外，歐易OKX是首家接入Optimism網絡的交易所，用戶可在歐易和Optimism網絡之間轉移資金。

據悉，Optimism是以太坊Layer2擴容解決方案之一，旨在建立基于Optimistic Rollup技術的以太坊網絡和Optimistic虛擬機來擴展以太坊，降低以太坊應用程序上的交易費用、提高交易效率及安全性。[2022/6/1 3:53:56]

CertiK分析的此次事件攻擊者心理畫像：

攻擊者在調取STA余額后，快速調用swapExactAmountIn函數購買STA，并在第24次交易使用了另一個函數swapExactAmountOut精準的將STA的數目買到了最小值（1e-18)，從而最大化后續攻擊的效率。最開始的6筆交易，在沒有必要的情況下，3次買入后賣出，損失了4個WETH，故布疑云。并且能夠做到隱匿自己的閃電貸階段痕跡來看，有黑客特性。

BOSON首發上線庫幣，開盤上漲833.33%:據庫幣KuCoin交易所消息，庫幣已上線 Boson Protocol （BOSON）項目并支持BOSON/USDT 和BOSON/ETH 交易服務。BOSON開盤價為0.75USDT，當前報價7USDT，上線漲幅833.33%。

同時，庫幣開啟BOSON首發上線活動，充值交易可瓜分24,000美金等值BOSON 獎勵 。 以“全民的交易所”著稱，庫幣旨在發掘優質區塊鏈項目，為來自207個國家的600萬用戶提供幣幣、法幣、杠桿、合約、礦池、借貸等一站式服務。[2021/4/9 20:02:16]

CertiK判斷攻擊者是有經驗的黑客團隊在充分準備后的一次攻擊嘗試，有很大可能還會繼續攻擊其他DeFi合約。

階段0：攻擊者從dYdX閃電貸處借款，獲得初始WETH資金。

階段1：攻擊者使用WETH將Balancer中的STA盡可能買空，最大程度提高STA價格。

階段2：攻擊者用獲得的STA多次買回WETH。每一次都用最小量的STA（數值為1e-18）進行購買，并利用Balancer內部漏洞函數gulp()，鎖定STA的數目，控制STA對WETH的價格。重復多次該種買回操作，直到將Balancer中的WETH取空。

LBank藍貝殼首發DORA，開盤價格為10USDT:3月22日18:00，LBank首發DORA(Dora Factory)，開放USDT交易。DORA開盤價格為10USDT，當前最高報價為50USDT，最高漲幅400%，截止發稿價格穩定在43USDT。

資料顯示，Dora Factory 是基于波卡的DAO即服務基礎設施，基于Substrate 的開放、可編程的鏈上治理協議平臺，為新一代去中心化組織和開發者提供二次方投票、曲線拍賣、Bounty 激勵、跨鏈資產管理等可插拔的治理功能。同時，開發者可以向這個 DAO 即服務平臺提交新的治理模塊，并獲得持續的激勵。更多詳情可登錄LBank藍貝殼官網查詢。

注：信息僅供分享，不構成任何投資建議。[2021/3/22 19:07:39]

階段3：換一種代幣，用STA重復階段2直到取空該種代幣。階段三重復了三次，一共有4種代幣受到了損失WETH，WBTC, LINK和SNX。

階段4：償還dYdX閃電貸，離場。

聚幣Jubi今日首發上線ZKS 開盤最高漲幅達195.36%:聚幣Jubi已于2021年1月6日15：00（UTC+8)首發上線ZKS/USDT，開盤最高漲幅達195.36%。開盤價0.12302USDT，最高價0.36336USDT。ZKS進入聚幣24小時漲幅榜。

ZKSwap 是一套基于自動化做市商（AMM，Automated Market Maker）的代幣 Swap 協議。通過 ZK-Rollup 技術在 Layer-2 實現了 uniswap 的全套功能，同時提供無限可擴展性和隱私性。ZKSwap 為流動性提供者和交易者提供超高吞吐量的 Swap 基礎設施，且交易無需任何 Gas 費用。[2021/1/6 16:34:33]

階段1： 從Balancer中取光所有的STA

THOR（Thor Chain）即將首發上線BiKi:據官方消息，THOR（Thor Chain雷神）與BiKi平臺達成戰略合作，即將首發上線BiKi。

Thor Chain是向比特幣致敬的公鏈，在保留了比特幣Pow核心優勢的同時，對比特幣的價值邏輯及發行機制進行了優化，首創與Odin Chain的雙公鏈價值糾纏機制：Thor在出塊時需要燃燒Odin作為燃料（gas）。由此實現Thor的雙向價值錨定與存儲，貨幣價值支撐更加穩固。?

Thor發行總量為2100萬枚，每5分鐘出一個塊，區塊獎勵為50枚Thor，每21萬塊減產1/2，100%挖礦產出。無私募、無預售、無預挖。[2020/10/21]

前24筆交易將從閃電貸中借到的WETH交易為STA，盡可能降低Balancer中的STA數目，從而提升STA對其他代幣的價格。 

階段2：將STA交易為WETH，利用gulp函數漏洞控制價格

在階段2開始時候，STA的總數目始終被gulp函數重置為之前的1e-18。在第一次通過swapExactAmountIn函數將STA交易為WETH時，攻擊者故意將STA交易的數目設為1e-18，由于在交易模型中，STA的數目極小，因此STA的價格相對其他代幣會極高。在完成第一次交易后，在Balancer中STA的數目應為2e-18。

在第二次通過swapExactAmountIn將STA交易為WETH之前，攻擊者通過調用gulp函數，將在Balancer中的STA數目使用內部記錄的1e-18來覆蓋當前STA的真實數目（2e-18）。因此在購買WETH時，STA依然可以保持高價。但是因為購買WETH后，WETH的數量減少，每次攻擊的非法所得逐漸減小，18次攻擊后，Balancer中的WETH被完全盜取。

階段3：轉移目標

當Balancer中的WETH被完全盜取后，攻擊者利用相同漏洞，對Balacner的其他代幣（WBTC, LINK和SNX）重演攻擊，盜光了4種代幣后隱遁。

攻擊者獲利

攻擊者攻擊地址：

0x81D73c55458f024CDC82BbF27468A2dEAA631407

攻擊者最終收款地址：

0xbf675c80540111a310b06e1482f9127ef4e7469a

攻擊者最終獲利：565.5326240837032 ETH, 約合90萬人民幣（北京時間20200630早9點30分價格）

Balancer合約的gulp()函數作用為將某一種代幣的內部記錄數值覆蓋到當前該種代幣的真實數目，但是錯誤的把他設置成沒有限制的external函數。gulp()函數不應該為external，或者應該加入對于特定使用者或者智能合約擁有者的驗證或者防護限制條件。

參考資料：

1. Balancer Github:

https://github.com/balancer-labs/balancer-core/blob/140df49361a58e6c79b395964be98387702a7c0d/contracts/BPool.sol#L334

https://github.com/balancer-labs/balancer-core/blob/140df49361a58e6c79b395964be98387702a7c0d/contracts/BMath.sol#L28

https://github.com/balancer-labs/balancer-core/blob/140df49361a58e6c79b395964be98387702a7c0d/contracts/BPool.sol#L423

2. 攻擊交易歷史記錄：

https://ethtx.info/mainnet/0x013be97768b702fe8eccef1a40544d5ecb3c1961ad5f87fee4d16fdc08c78106

3. 官方攻擊報告：

https://medium.com/balancer-protocol/incident-with-non-standard-erc20-deflationary-tokens-95a0f6d46dea

了解更多

General Information: info@certik.org

Audit & Partnerships: bd@certik.org

Website: certik.org

Twitter: @certik.org

Telegram: t.me/certik.org

Medium:medium.com/certik

幣乎：bihu.com/people/1093109

Tags：STACERETHALAStakingInfluencerCETH價格SAFEGALAXY 幣

火必下載