IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 区块链 -> Hundred Finance攻击事件分析 | 零时科技 -> 正文阅读

[区块链]Hundred Finance攻击事件分析 | 零时科技

事件背景

Hundred Finance 是一个去中心化应用程序 (dApp),支持加密货币的借贷。是一种多链协议,与 Chainlink 预言机集成,以确保市场健康和稳定,同时专门为长尾资产提供市场。

零时科技区块链安全情报平台监控到消息,北京时间2022年3月15日,Hundred Finance 称遭到黑客攻击,目前已暂停Gnosis相关市场,零时科技安全团队及时对此安全事件进行分析。

?

事件分析

攻击信息

零时科技安全团队通过初步追踪分析,此次攻击发生在Gnosis链,主要攻击信息如下:

攻击者钱包地址:

https://blockscout.com/xdai/mainnet/address/0xD041Ad9aaE5Cf96b21c3ffcB303a0Cb80779E358

攻击者创建相关合约地址:

主合约1:

https://blockscout.com/xdai/mainnet/address/0xdbF225e3d626Ec31f502D435B0F72d82b08e1bDd/transactions

合约2:

https://blockscout.com/xdai/mainnet/address/0xbE8fe2aE087aeCcB1E46EF206368421c9212637B/

合约3:

https://blockscout.com/xdai/mainnet/address/0x09b4f2551E9f39fa021A99463E21D6044656A7b9/

合约4:

https://blockscout.com/xdai/mainnet/address/0xf07Ac43678B408Ff0c86efFf99B8D21Af3D38C51/

合约5:

https://blockscout.com/xdai/mainnet/address/0x9c4E6edBC45b16e4378b53cD3E261727E103F633/

攻击者交易:

https://blockscout.com/xdai/mainnet/tx/0x534b84f657883ddc1b66a314e8b392feb35024afdec61dfe8e7c510cfac1a098

官方合约:

CErc20Delegate https://blockscout.com/xdai/mainnet/address/0xfCD8570AD81e6c77b8D252bEbEBA62ed980BD64D/contracts

Comptroller https://blockscout.com/xdai/mainnet/address/0x376020c5B0ba3Fd603d7722381fAA06DA8078d8a/contracts

PermittableToken https://blockscout.com/xdai/mainnet/address/0xf8D1677c8a0c961938bf2f9aDc3F3CFDA759A9d9/contracts

攻击细节

先来看一下攻击者获利交易操作:

?

步骤一:攻击者通过闪电贷获取209万USDC,337万WXDAI。

下面的攻击中,攻击者主要通过创建多个合约进行借贷操作。

?

步骤二:攻击者合约继续创建关联合约2并将闪电贷获取的资金中120万枚USDC转移至攻击合约2。通过合约2将120万枚USDC质押在Hundred Finance合约中,随后合约2从Hundred Finance合约借贷106万枚USDC,5999万枚hUSDC,16枚WBTC,24枚WETH。攻击者将合约2获得的借贷资金部分进行转移,其中6枚WBTC,24枚WETH转移至攻击者钱包地址,106万枚USDC转移至合约1(此时攻击合约1的USDC共196万枚)。

?

步骤三:攻击者合约继续创建关联合约3并将合约1所有的196万枚USDC 转移至攻击合约3。通过合约3将196万枚USDC质押在Hundred Finance合约中,随后合约3从Hundred Finance合约借贷174万枚USDC,9823万枚hUSDC。之后将获取的174万枚USDC转移至合约1。

?

步骤四:攻击合约4从Hundred Finance合约借贷412万枚USDC,2亿hxDAI万枚hxDAI。之后将获取的412万枚USDC转移至合约1。

?

步骤五:攻击者合约继续创建关联合约5并将合约1的135万枚USDC 转移至合约5。通过合约5将135万枚USDC质押在Hundred Finance合约中,随后合约5从Hundred Finance合约借贷120万枚USDC,6793万枚hUSDC。之后将获取的120万枚USDC转移至攻击者合约1。

?

步骤六:攻击者归还闪电贷及贷款手续费共210万枚USDC,238枚WXDAI。最后将获取的362万枚USDC转移至攻击者钱包。攻击者成功获利。

至此,攻击者通过闪电贷获取资金在Hundred Finance借贷平台进行借出借入,利用多个合约从Hundred Finance平台存款一次,多次取出借贷资金获利,该笔交易中,攻击者共获取了362万枚USDC,169万枚xDAI,16枚WBTC,24枚WETH,价值超过600万美元。

漏洞细节

攻击者存款作为抵押品Hundred Finance借贷合约,随后通过Hundred Finance借贷合约多次借贷获利,攻击细节分析可知攻击者一笔交易中创建了多个合约进行攻击操作,如下为两个攻击合约的交易。

?

本篇我们以0xbE8fe2aE087aeCcB1E46EF206368421c9212637B合约2的交易详情进行分析。

?

通过上图调用可以看出,攻击者是通过borrow方法进行借款,并通过callAfterTransfer进行回调来重新进入borrow方法借款,上篇文章中我们说过用户每次向合约借贷转出资金未完成时,合约不会记录借贷的资金,也就是说用户在借贷资金转出时继续回调借贷方法不会被合约记录,本篇我们来详细了解一下攻击详情,先从borrow方法入手。

?

上图中borrow方法进行借款时调用borrowInternal方法,borrowInternal方法返回值中调用borrowFresh方法,跟进:

?

上图中35-36,通过borrowAllowed方法检查是否能借相关资产,72行进行借款资金转账,74-76行是用户借款之后更新的全局变量,也就是将用户从该借贷池借出的资金更新到全局变量中,让其他借贷池知道。

这里就是攻击者利用回调借款的关键,攻击者存款后,整个项目合约记录攻击者的存款资金,当用户从该借贷池进行借款时,借贷池判断用户有相应的存款,所以这里可以执行到72行进行转账,转账完成之后,将攻击者的借款记录在全局变量。但由于这里的doTransferOut转账方法调用的是PermittableToken合约的callAfterTransfer方法,攻击者利用该callAfterTransfer方法回调去触发下一次借贷的borrow方法,也就是重入borrow方法继续借款。

这里有两个重要的点:

第一是callAfterTransfer逻辑调用contractFallback方法中to地址可控的call回调borrow方法;

?

第二是由于借贷转账时攻击者借贷的资金全局变量未更新,攻击者可利用转账方法中的回调继续去借贷该项目的其他借贷池。

?

通过以上分析,我们再来看攻击者重入交易图,现在重入方法及内部调用应该更清晰。

?

对于攻击者来说,只要本次借贷资金大于自己的质押资金,则本次攻击可成功获利,当可以利用回调获取借贷时,攻击者几乎将合约中池子的资金均进行借贷,获取多种代币资金。

至此此次攻击事件合约漏洞分析结束,攻击者主要利用Gnosis链上PermittableToken合约可实现回调函数,其次利用Hundred Finance官方对借贷时可重入判断的缺陷性,在进行质押存款后,多次实现回调函数进行借贷,获取超过了质押存款的资金,获利离场。

总结

通过此次攻击事件来看,虽然本次攻击事件失去资金的是Hundred Finance,但问题存在两个地方,第一Gnosis链上Token合约转账功能调用参数未做严格检查,第二Hundred Finance官方对合约可重入未做严格判断,对于以上安全风险,零时科技安全团队给出以下建议。

安全建议

  • 建议Gnosis创建新的桥接代币合约来实现基本的ERC20。
  • 建议Hundred Finance官方严格检查调用Token风险性。
  • 建议Hundred Finance官方对合约可重入性做严格判断。

深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,以及企业级区块链应用创新解决方案。

  区块链 最新文章
盘点具备盈利潜力的几大加密板块,以及潜在
阅读笔记|让区块空间成为商品,打造Web3云
区块链1.0-比特币的数据结构
Team Finance被黑分析|黑客自建Token“瞒天
区块链≠绿色?波卡或成 Web3“生态环保”标
期货从入门到高深之手动交易系列D1课
以太坊基础---区块验证
进入以太坊合并的五个数字
经典同态加密算法Paillier解读 - 原理、实现
IPFS/Filecoin学习知识科普(四)
上一篇文章      下一篇文章      查看所有文章
加:2022-03-30 18:28:45  更:2022-03-30 18:31:08 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 20:05:57-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计