By:??yudan@慢雾安全团队
2020年11月30日,据慢雾区情报,以太坊AMM代币兑换协议SushiSwap遭遇攻击,损失约1.5万美元。慢雾安全团队第一时间介入分析,并以简讯的形式分享,供大家参考。
背景提要
SushiSwap项目中SushiMaker合约的作用是用于存放SushiSwap中每个交易对产生的手续费。其中手续费会以SLP(流动性证明)的形式存放在合约中。SushiMaker合约中有一个convert函数,用于将从每一个交易对中收集的手续费通过调用各自交易对的burn函数获得对应的代币,然后将这些代币转换成sushi代币,添加到SushiBar合约中,为SushiBar中抵押sushi代币的用户增加收益,而此次的问题就出在SushiMaker合约。
DEX平台Dexalot上线Avalanche子网:金色财经报道,去中心化交易平台Dexalot宣布上线Avalanche子网(Subnet)。
子网是Dexalot双链应用程序的关键支柱。用户通过Avalanche C-Chain上的Dexalot应用程序存入和提取资产,然后在Dexalot子网上进行交易。主网和子网之间的通信,通过使用高端跨链通信协议的通用消息传递进行。简单来说,Dexalot子网旨在复制CEX的用户体验,而不影响去中心化和透明度。
此前消息,Dexalot完成700万美元融资,Blizzard、Avalaunch、Colony、Benqi、AVentures、Avascan、Republic Capital、GSR、Muhabbit Capital、Woodstock Capital、Maven Capital、IPC等参投。[2023/2/2 11:41:49]
攻击流程
去中心化交易所Dexalot完成700万美元融资,Avalaunch等参投:2月17日消息,去中心化交易所Dexalot完成700万美元融资,Blizzard、Avalaunch、Colony、Benqi、AVentures、Avascan、Republic Capital、GSR、Muhabbit Capital、Woodstock Capital、Maven Capital、IPC等参投。(Crypto Daily)[2022/2/17 9:59:14]
1、攻击者选中SushiSwap中的一个交易对,如USDT/WETH,然后添加流动性获得对应的SLP(USDT/WETH流动性证明,以下简称SLP),使用获得的SLP和另外的少量WETH创建一个新的SushiSwap交易对,然后得到新代币池的SLP1(WETH/SLP(USDT/WETH)流动性证明,以下简称SLP1)转入?SushiMaker合约中。
霍比特交易所首发项目币种HALO上线涨幅超7倍:据霍比特HBTC行情页显示,平台内首发项目币种HALO上线后持续上涨,截止快讯时间,最高涨幅达717.43%,暂报价0.047USDT。
另据霍比特HBTC官方公告,霍比特HBTC还于8月31日10:00-16:00(UTC+8)举行了“霍比特队长专属HALO空投福利”和“持仓HBC,0.007U认购HALO”的双重福利大赠送,活动总金额达200万个HALO。详情点击原文链接。[2020/8/31]
2、调用SushiSwap的convert函数,传入的token0为第一步获得的SLP,token1为WETH。调用convert函数后,SushiMaker合约会调用token0和token1构成的代币池的burn函数燃烧SLP1,燃烧掉攻击者在第一步中打入SushiMaker合约中的SLP1,得到WETH和SLP。
3Landers NFT将于11月4日上线软质押模式Adventure:11月2日,据官方消息,3Landers NFT 将于11月4日上线软质押模式Adventure。用户仅需在相关页面进行签名而无需将持有的 3Landers NFT 转移至质押合约即可享受质押收益。[2022/11/2 12:08:02]
3、SushiMaker合约的convert函数紧接着会调用内部的_toWETH函数将burn获得的代币转换成WETH,由于在第二步SushiMaker合约通过burn获得了SLP和WETH。其中WETH无需转换,只需转换SLP。此时,转换将会通过调用SLP/WETH交易对进行转换,也就是攻击者在第一步创建的交易对。由于SushiMaker合约在转换时会将所有的balanceOf(token0)转换成WETH,这里传入的token0为SLP,于是合约将合约中所有的SLP通过SLP/WETH交易对进行兑换(兑换的SLP包含USDT/WETH交易对每次swap产生的收益和在第二步合约通过burn函数获得的SLP)。而SLP/WETH代币池是攻击者创建的,攻击者只需在初始化的时候添加少量的WETH,就可以在SushiMaker交易对进行兑换的过程中,用少量的WETH换取SushiMaker合约中对应交易对的所有的SLP。
4、攻击者使用burn函数在SLP/WETH交易对中燃烧掉自己的SLP1,拿到大量的SLP和小量的WETH,并继续对其他流动性池重复该过程,持续获利。
总结
攻击者使用SLP和WETH创建一个新的代币池,使用新代币池的SLP1在SushiMaker中进行convert,使用少量的SLP将SushiMaker合约中的所有SLP转到自己创建的代币池中,即将对应交易对一段时间内的所有手续费收入囊中。并对其他交易对重复这个过程,持续获利。
往期回顾
假钱换真钱,揭秘PickleFinance被黑过程
闪电贷+重入攻击,OUSD损失700万美金技术简析
如何使用闪电贷从0撬动百万美元?ValueDeFi协议闪电贷攻击简要分析
无中生有?DeFi协议Akropolis重入攻击简析
Acala创世已通过慢雾科技安全审计
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾?GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
币乎
https://bihu.com/people/586104
知识星球
https://t.zsxq.com/Q3zNvvF
火星号
http://t.cn/AiRkv4Gz
链闻号
https://www.chainnews.com/u/958260692213.htm
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。