By:Kong@慢雾安全团队
据慢雾区消息,2021年10月27日,CreamFinance再次遭受攻击,损失约1.3亿美金,慢雾安全团队第一时间介入分析,并将简要分析分享如下。
攻击核心
本次攻击的核心在于利用Cream借贷池对抵押物价格获取的缺陷,恶意操控拉高了其抵押物的价格,使得攻击者可以从Cream借贷池借出更多的代币。
攻击细节
首先攻击者从DssFlash中闪电贷借出5亿个DAI,随后将借出的5亿个DAI抵押至yearn的yDAI池中,以获得约4.5亿个yDAI凭证。
随后攻击者将获得的yDAI代币在Curve的yDAI/yUSDC/yUSDT/yTUSD池子中进行单币流动性添加,以获得相应的流动性凭证。紧接着攻击者就将获得的凭证抵押到yUSD池子中以获得yUSD凭证,为后续在CreamcrYUSD借贷池中抵押做准备。
Sui发布SUI代币分配细节,基金会管理的社区储备占50%:12月15日消息,Sui基金会发布SUI代币经济学分配细节,其中基金会管理的社区储备占50%,早期贡献者占20%,投资者占14%,Mysten实验室金库占10%,社区访问计划和应用测试人员占6%,并表示Sui基金会将把向Sui早期社区成员奖励和分发SUI代币作为重中之重。
此前报道,5月份Sui公布代币经济学模型,总量100亿枚,有四个用途:被抵押以参与权益证明机制(PoS)、支付Gas费以执行交易和其他操作、支撑整个Sui经济的多功能和流动资产、参与链上投票来发挥重要的治理作用。[2022/12/15 21:46:01]
之后攻击者开始向Cream的crYUSD借贷池中抵押其获得yUSD凭证,为了扩大其抵押规模,攻击者从AAVE闪电贷借出约52.4万个WETH,并将其抵押到Cream的crETH池子中。
华尔街日报:美国刺激法案最终细节敲定 据达成协议仅剩几小时:据华尔街日报消息,谈判代表周日与美国参议院多数党领袖麦康奈尔(Mitch McConnell)敲定了一项9亿美元新冠疫情刺激法案的最终细节,称他们离达成协议仅剩数小时。[2020/12/21 15:53:54]
攻击者通过在crETH池子中抵押大量ETH,来使得其有足够的借贷能力将crYUSD池子中的yUSD全部借出并重复抵押到crYUSD池子中,随后通过在crYUSD池子中进行循环贷以杠杆的形式扩大了本身在crYUSD池子中yUSD的抵押规模,为后续操控价格获利做准备。
随后为了获得yDAI/yUSDC/yUSDT/yTUSD4Pool凭证以操控价格,攻击者用约1,873个ETH从UniswapV3中兑换出约745万个USDC,并通过Curve3Pool将其兑换成DUSD代币约338万个。
动态 | Coinbase集体诉讼文件披露BCH内幕交易细节:据Coindesk消息,近日一项针对Coinbase提起的新的修订集体诉讼,揭露了去年12月有关内部人士如何在Coinbase利用BCH获利的更多细节。该文件于11月20日提交给美国加利福尼亚州北区地方法院,概述了为什么原告认为Coinbase“对其推出BCH做出了虚假和性言论”; 交易所如何导致BCH价格飙升同时压低BTC的价格; Coinbase的内部人员如何列出BCH,声称可以在其他客户之前买卖该代币。原告表示,由于这一计划,使Coinbase从其客户的交易中获得了大量费用收入,Coinbase从中获得了BCH虚增价格的差价,并避免了公司的”挤兑“。卖家急于利用膨胀的价格,在发布后的几分钟内关闭交易,而某些内部人员在此发布期间以高价出售BCH获取暴利。[2018/11/22]
接下来攻击者通过获得的DUSD代币从YVaultPeak中赎回yDAI/yUSDC/yUSDT/yTUSD4Pool凭证,并利用此凭证从yUSD池子中取回yDAI/yUSDC/yUSDT/yTUSD代币。
政策 | 泰国数字资产交易指导方针细节:允许比特币等7种加密货币用于ICO:据曼谷邮报,泰国SEC公布数字资产交易指导方针的细节,要点如下:1、市场监管机构预计约有10家中介机构申请营业执照,其中半数预计成为加密货币交易所,其余被确定为经纪公司和交易商。2、泰国SEC将允许七种用于ICO的加密货币作为交易对进行交易,包括比特币,以太坊,比特现金,以太经典,莱特币,瑞波币和恒星币。3、所有市场参与者,包括ICO发行方、数字货币交易所、经纪商和涉及数字资产交易的交易商,都必须在生效日期后90天内向SEC注册。参与者开展数字资产业务还必须获得财政部批准。4、未经授权的数字货币的卖方以及设立未经授权的研讨会以获取加密货币投资的人,将被处以不超过交易价值两倍或至少500000泰铢的罚款。他们还可能面临长达两年的监禁。[2018/7/4]
随后攻击者开始进行此次攻击的关键操作,其将约843万个yDAI/yUSDC/yUSDT/yTUSD代币直接转回yUSD池子中,由于其不是通过正常抵押操作进行抵押的,所以这843万个yDAI/yUSDC/yUSDT/yTUSD代币并没有被单独记账,而是直接分散给了yDAI/yUSDC/yUSDT/yTUSD凭证的持有者,这相当于直接拉高了其share的价格。
SCRY即将发行独立底层ScryChain支持的自研发Dapp产品细节:SCRY团队发布4月研发月报,公布众多即将发行独立底层ScryChain支持的自研发Dapp产品细节。同时在月报中为其即将在6月上线的DAPP进行了产品角色原型征集活动,根据社区成员贡献进行投票选举,前三名将获得专属角色上链发行设计。[2018/5/2]
在crToken中由于其抵押物价格被恶意拉高了,因此攻击者抵押的大量yUSD可以使其借出更多的资金,最后攻击者将Cream的其他15个池子全部借空。接下来我们跟进Cream的crToken借贷池中具体借贷逻辑。
从cToken合约中我们可以看到,主要借贷检查在borrowAllowed函数中:
我们跟进borrowAllowed函数,可以看到在427行,其会根据getHypotheticalAccountLiquidityInternal函数检查实时状态下的该账户所对应的所有cToken的资产价值总和和借贷的资产价值总和,并通过对比cToken的资产价值和借贷的Token价值和,来判断用户是否还可以继续借贷。
我们跟进getHypotheticalAccountLiquidityInternal函数,可以发现对于抵押物的价值获取来自886行的oracle.getUnderlyingPrice。
我们跟进预言机的getUnderlyingPrice函数,可以容易的发现其将通过代币150行的getYvTokenPrice函数进行价格获取。
继续跟进getYvTokenPrice函数,由于yvTokenInfo.version为V2,因此将通过yVault的pricePerShare函数进行价格获取。
跟进pricePerShare可以发现其直接返回了_shareValue作为价格,而_shareValue是通过_totalAssets除合约的总share数量(self.totalSupply)来计算单个share的价格的。因此攻击者只需要操控_totalAssets将其拉高就可以提高单个share的价格从而使得攻击者的抵押物价值变高以借出更多的其他代币。
我们可以查看下_totalAssets是如何获取的,从772行我们可以很清晰的看到,_totalAssets是直接取的当前合约的yDAI/yUSDC/yUSDT/yTUSD代币数量,以及抵押在策略池中的资产数额相加获得的。因此攻击者通过直接往yUSD合约中转入yDAI/yUSDC/yUSDT/yTUSD代币就可以拉高share价格从而完成获利。
通过Ethtx.info可以清晰的看到pricePerShare前后变化:
最后攻击者在借空其他池子后归还了闪电贷获利离场。
总结
本次攻击是典型的利用闪电贷进行价格操控,由于Cream的借贷池在获取yUSD池子share价格时直接使用了其pricePerShare接口,而此接口是通过合约的抵押物余额与策略池抵押资产数额相加除总share数来计算单个share的价格的。因此用户直接往yUSD转入抵押物就可以很容易的拉高单个share价格,最终使得Cream借贷池中抵押物可以借出更多的资金。
附:前两次CreamFinance被黑分析回顾
慢雾:CreamFinance被黑简要分析
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。