安全实验室监测到DeFi协议RikkeiFinance遭到黑客攻击,被盗资金中已有2600枚BNB被转入TornadoCash。
基础信息
攻击合约:
0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f
0x9ae92cb9a3ca241d76641d73b57c78f1bcf0b209
攻击者地址:
0x803e0930357ba577dc414b552402f71656c093ab
恶意预言机地址:
比特币支付应用Strike扩展到超过65个国家:金色财经报道,比特币支付提供商Strike的创始人兼首席执行官Jack Mallers表示,正在将其应用从目前的美国、萨尔瓦多和阿根廷基地扩展到65个以上的国家。Strike应用程序使用比特币和闪电网络来提供全球支付和汇款服务。该应用现在采用了全新的用户界面,还让用户能够持有BTC和USDT的资金。[2023/5/20 15:14:56]
0xa36f6f78b2170a29359c74cefcb8751e452116f9
0x99423d4dfce26c7228238aa17982fd7719fb6d7f
加密支付公司Strike与电商巨头Shopify达成合作,允许商家接受比特币付款:4月8日消息,闪电网络支付平台Strike宣布与电商巨头Shopify、软件公司NCR和支付公司Blackhawk合作,建立了一个基于闪电网络的新支付系统,使符合条件的美国Shopify商家将能够从全球客户那里以美元接收比特币付款。该系统将适用于Shopify商家的在线销售,以及许多大型连锁店的网点交易。
Strike首席执行官Jack Mallers表示,世界上任何拥有闪电网络钱包的消费者都可以使用这项服务,包括超过7000万Cash App(Square公司开发的移动支付服务)用户。[2022/4/8 14:11:47]
攻击tx:
Strike正在基于比特币的萨尔瓦多汇款中逐步淘汰USDT:金色财经报道,Strike首席执行官Jack Mallers表示,在萨尔瓦多建立基于比特币的支付系统的初创公司Strike正在逐步停止使用Tether的USDT稳定币作为美元替代品。Mallers表示,Strike现在正在与该国最大的五家银行和两家最大的取款机分销商进行整合。人们将可以用实物现金交换移动应用程序上余额,反之亦然。整合可能会消除USDT作为替代美元的需要,因为Strike将能够在银行持有客户的余额。[2021/6/22 23:55:02]
0x93a9b022df260f1953420cd3e18789e7d1e095459e36fe2eb534918ed1687492
0x4e06760884fd7bfdc076e25258ccef9b043401bc95f5aa1b8f4ff2780fa45d44
被攻击预言机地址:
0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5
流程
攻击者的攻击流程如下:
1.攻击者调用external可见性的setOracleData()函数将预言机设置为自己的恶意预言机。
2.由于恶意预言机替换了原来的预言机,导致预言机输出的rTokens价格可以被攻击任意操控。攻击者向RBinance合约发送0.0001BNB获得4995533044307110.024rBNB。
3.由于兑换了大量的rBNB,所以攻击者借出346199.781USDC。
4.攻击者将借出的346199.781USDC兑换成776.298WBNB。
5.攻击者重复第三步和第四步操作分别借出3.033BTCB、52275.873DAI、297082.798BSC-USD、299822.459BUSD并兑换成相应的WBNB。
6.将兑换的共2571.201BNB转移到攻击者账户上。
7.最后攻击者再次调用setOracleData()还原预言机状态。
另外一次攻击的手法相同,只是先将BNB兑换成BUSD再转去RBinance获得rBUSD。
细节
问题点就在于Cointroller中的SimplePriceOracle.sol(https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code)合约,其setOracleData的可见性为external,可以被外部调用。
修改预言机前的正常价格为416247538680000000000。
将rToken0x1578的预言机修改为恶意预言机0xa36f。
设置恶意预言机后将rToken价格提升到416881147930000000000000000000000。
后续处理
攻击者将盗取的BNB分批次转入TornadoCash中。
RikkeiFinance官方称将全额补偿漏洞利用攻击中受影响的所有用户。
总结
由于合约没有对setOracleData函数的可见性进行限制,导致了攻击者可以任意修改预言机地址,从而获取了从合约中代币,所以我们在写合约时一定要严格限制函数的可见性。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。