By:Kong@慢霧安全團隊
據慢霧區消息,2021年10月27日,CreamFinance再次遭受攻擊,損失約1.3億美金,慢霧安全團隊第一時間介入分析,并將簡要分析分享如下。
攻擊核心
本次攻擊的核心在于利用Cream借貸池對抵押物價格獲取的缺陷,惡意操控拉高了其抵押物的價格,使得攻擊者可以從Cream借貸池借出更多的代幣。
攻擊細節
首先攻擊者從DssFlash中閃電貸借出5億個DAI,隨后將借出的5億個DAI抵押至yearn的yDAI池中,以獲得約4.5億個yDAI憑證。
隨后攻擊者將獲得的yDAI代幣在Curve的yDAI/yUSDC/yUSDT/yTUSD池子中進行單幣流動性添加,以獲得相應的流動性憑證。緊接著攻擊者就將獲得的憑證抵押到yUSD池子中以獲得yUSD憑證,為后續在CreamcrYUSD借貸池中抵押做準備。
Galois Capital:不會成立新基金,無法透露出售FTX索賠的交易細節:2月21日消息,Galois Capital在推特上表示:“我們的旗艦基金確實要倒閉了。盡管如此,我自豪地說,盡管我們因FTX災難損失了近一半的資產,然后以美元的價格出售了索賠,但我們是少數幾個以至今仍為積極的業績關門的公司之一。雖然這是Galois一個時代的結束,但我們在過去幾年里共同做的工作并沒有白費。目前我只能說這些了。請繼續關注。看到一些關于我們倒閉的評論,我只是想澄清兩件事。首先,我們不會成立新基金。
我認為,對目前的投資者來說,有效地重置高水位是不公平的。我不會那樣對待我的投資者。其次,關于出售FTX索賠,我受到BTIG的嚴格保密協議。因此,我不會透露交易條款、價格、買家或出售時間。我能說的是,我們與Schulte Roth和BTIG合作舉辦了一場拍賣,我們對結果很滿意。”
此前金色財經報道,對沖基金Galois Capital在一半資產被困于FTX后關閉。[2023/2/21 12:18:51]
動態 | Blockstream工程師公布閃電網絡漏洞全部細節:閃電網絡上個月底被發現安全漏洞。近日,開發了閃電網絡大部分協議的Blockstream工程師Rusty Russell公布了該漏洞的全部細節。根據披露,該漏洞正在創建和資助閃電網絡渠道。創建通道后,不需要通道的接收者來驗證資金交易輸出。由于閃電網絡協議不需要這種驗證,攻擊者可以聲稱打開了一個通道,但不向對等方支付,或者不支付全部金額。這使得攻擊者可以在不警告受害者的情況下,將資金花在與受害者一起創建的通道中。只有當受害者關閉與攻擊者的通道時,他們才會注意到通道之間提交的任何事務都是無效的。盡管閃電網絡開發人員已推送更新,但較舊的版本仍會受到影響,因此建議用戶升級。(The Block)[2019/9/28]
之后攻擊者開始向Cream的crYUSD借貸池中抵押其獲得yUSD憑證,為了擴大其抵押規模,攻擊者從AAVE閃電貸借出約52.4萬個WETH,并將其抵押到Cream的crETH池子中。
聲音 | 趙東:Bitfinex的確有發幣計劃,但細節未定:趙東剛剛發微博稱:Bitfinex的確有發幣計劃,但細節未定,目前任何假借Bitfinex名義搞代投、說有額度的都可能是騙子,警惕![2019/4/30]
攻擊者通過在crETH池子中抵押大量ETH,來使得其有足夠的借貸能力將crYUSD池子中的yUSD全部借出并重復抵押到crYUSD池子中,隨后通過在crYUSD池子中進行循環貸以杠桿的形式擴大了本身在crYUSD池子中yUSD的抵押規模,為后續操控價格獲利做準備。
隨后為了獲得yDAI/yUSDC/yUSDT/yTUSD4Pool憑證以操控價格,攻擊者用約1,873個ETH從UniswapV3中兌換出約745萬個USDC,并通過Curve3Pool將其兌換成DUSD代幣約338萬個。
動態 | 藍寶科技公布加密貨幣礦機細節:據Bitcoin.com報道,世界上最大的AMD視頻卡供應商之一藍寶科技(Sapphire Technology)宣布正式進入加密貨幣挖礦硬件領域,將推出一個挖礦設備。其新設備INCA CS-14區塊鏈計算系統具有14個RX 470 GPU,并預裝了Linux操作系統和采礦軟件。預計將提供410 MH / s的散列功率,功耗設置為大約1950瓦。該公司聲稱已經將“超過15年制造最先進的顯卡的技術”納入新加密貨幣挖礦設備的開發中。據早先報道,AMD官網顯示,AMD正與華碩等7家公司合作推出8種不同的礦機,其中包括藍寶科技的SAPPHIRE INCA CS-14。[2018/11/29]
接下來攻擊者通過獲得的DUSD代幣從YVaultPeak中贖回yDAI/yUSDC/yUSDT/yTUSD4Pool憑證,并利用此憑證從yUSD池子中取回yDAI/yUSDC/yUSDT/yTUSD代幣。
動態 | EOS Authority對提案投票頁面及細節更新:據 IMEOS 報道,電報主網群成員討論關于提案的一些投票細節,EOS Authority對目前正在進行投票的“關于降低轉賬時所消耗的RAM的提案”頁面作出了以下這些更新:
1. 增加了中文語言選項;
2. 凸顯目前沒有在TOP 21的節點(名字標記黃色);
3. 增加了EOSNY的測試結果(可供其他節點參考);[2018/8/1]
隨后攻擊者開始進行此次攻擊的關鍵操作,其將約843萬個yDAI/yUSDC/yUSDT/yTUSD代幣直接轉回yUSD池子中,由于其不是通過正常抵押操作進行抵押的,所以這843萬個yDAI/yUSDC/yUSDT/yTUSD代幣并沒有被單獨記賬,而是直接分散給了yDAI/yUSDC/yUSDT/yTUSD憑證的持有者,這相當于直接拉高了其share的價格。
在crToken中由于其抵押物價格被惡意拉高了,因此攻擊者抵押的大量yUSD可以使其借出更多的資金,最后攻擊者將Cream的其他15個池子全部借空。接下來我們跟進Cream的crToken借貸池中具體借貸邏輯。
從cToken合約中我們可以看到,主要借貸檢查在borrowAllowed函數中:
我們跟進borrowAllowed函數,可以看到在427行,其會根據getHypotheticalAccountLiquidityInternal函數檢查實時狀態下的該賬戶所對應的所有cToken的資產價值總和和借貸的資產價值總和,并通過對比cToken的資產價值和借貸的Token價值和,來判斷用戶是否還可以繼續借貸。
我們跟進getHypotheticalAccountLiquidityInternal函數,可以發現對于抵押物的價值獲取來自886行的oracle.getUnderlyingPrice。
我們跟進預言機的getUnderlyingPrice函數,可以容易的發現其將通過代幣150行的getYvTokenPrice函數進行價格獲取。
繼續跟進getYvTokenPrice函數,由于yvTokenInfo.version為V2,因此將通過yVault的pricePerShare函數進行價格獲取。
跟進pricePerShare可以發現其直接返回了_shareValue作為價格,而_shareValue是通過_totalAssets除合約的總share數量(self.totalSupply)來計算單個share的價格的。因此攻擊者只需要操控_totalAssets將其拉高就可以提高單個share的價格從而使得攻擊者的抵押物價值變高以借出更多的其他代幣。
我們可以查看下_totalAssets是如何獲取的,從772行我們可以很清晰的看到,_totalAssets是直接取的當前合約的yDAI/yUSDC/yUSDT/yTUSD代幣數量,以及抵押在策略池中的資產數額相加獲得的。因此攻擊者通過直接往yUSD合約中轉入yDAI/yUSDC/yUSDT/yTUSD代幣就可以拉高share價格從而完成獲利。
通過Ethtx.info可以清晰的看到pricePerShare前后變化:
最后攻擊者在借空其他池子后歸還了閃電貸獲利離場。
總結
本次攻擊是典型的利用閃電貸進行價格操控,由于Cream的借貸池在獲取yUSD池子share價格時直接使用了其pricePerShare接口,而此接口是通過合約的抵押物余額與策略池抵押資產數額相加除總share數來計算單個share的價格的。因此用戶直接往yUSD轉入抵押物就可以很容易的拉高單個share價格,最終使得Cream借貸池中抵押物可以借出更多的資金。
附:前兩次CreamFinance被黑分析回顧
慢霧:CreamFinance被黑簡要分析
據NewsBTC消息,10月22日,基于BSC的NFT3D賽車游戲DragonKart宣布完成110萬美元超額認購融資,BigcoinCapital和LuaVentures領投.
1900/1/1 0:00:00來源:人大金融科技研究所2020年,法蘭西銀行的中央銀行數字貨幣工作組發布了一份工作文件,采用比常規CBDC工作更具操作性的視角,探討了歐洲央行發行CBDC的可行性.
1900/1/1 0:00:00據STEP10月20日消息,巴西國會目前正在討論針對第2303/15號法案的修正案。該法案最近由巴西眾議院的一個特別委員會批準,旨在加強對數字貨幣的反洗錢監管.
1900/1/1 0:00:00如果你是一位資深游戲迷,想必肯定只有《反恐精英》這款游戲,它是在1999年夏天由游戲公司Valve開發,之后該公司又建立了一個網上正版單機游戲購買/服務平臺Steam.
1900/1/1 0:00:00巴比特訊,10月14日,火幣發布《關于合約交易的中國大陸地區存量用戶清退流程的通知》。通知稱,為響應當地政府監管政策要求,HuobiGlobal將在保證用戶資產安全的前提下完成合約交易的中國大陸.
1900/1/1 0:00:00據Decrypt10月21日消息,NFT游戲工作室CandyDigital宣布完成1億美元A輪融資,公司估值達到15億美元,由InsightPartners和軟銀的VisionFund2領投.
1900/1/1 0:00:00