By:小白@慢雾安全团队
2022 年 3 月 21 日,据慢雾区消息,OneRing Finance 存在严重漏洞遭到攻击,黑客获利约 1,454,672.244369 USDC(约 146 万美元),慢雾安全团队第一时间介入分析,并将结果分享如下:
相关信息
OneRing Finance 是一个去中心化应用程序(DApp),它支持加密货币的质押挖矿。用户可以存入代币来获取收益。
以下是本次攻击涉及的相关地址:
攻击者地址:
0x12efed3512ea7b76f79bcde4a387216c7bce905e
攻击交易:https://ftmscan.com/tx/0xca8dd33850e29cf138c8382e17a19e77d7331b57c7a8451648788bbb26a70145
攻击合约:
0x6a6d593ed7458b8213fa71f1adc4a9e5fd0b5a58
James Gwertzman将退出风投公司A16z和Games Fund One:金色财经报道,A16z普通合伙人James Gwertzman将离开风险投资公司A16z和Games Fund One。Gwertzman帮助领导了6亿美元的Games Fund One。A16z已成为web3开发人员和平台的最大投资者之一。去年5月,A16z宣布了其6亿美元的Games Fund One。在宣布这一消息时,A16z表示Gwertzman将帮助领导专注于web3游戏的基金。[2023/1/19 11:19:42]
被攻击合约:
OneRingVault:0xc06826f52f29b34c5d8b2c61abf844cebcf78abf
攻击核心点
OneRing 直接使用了 Pair 中的 reserves 参与 OShare 的价格计算,攻击者利用 OneRingVault 正常的业务逻辑进行巨额的 Swap 操作产生的大滑点,使得 Pair 中的 reserves 非预期的增加,从而拉高了 OShare 的价格,导致相同数量的 OShare 可以取出更多的资金。
电竞元宇宙项目EsportsOne二级市场已上线:2月3日消息,专注于电竞的元宇宙项目EsportsOne发推称,二级市场已在OpenSea上线,目前该项目正在Polygon上构建。[2022/2/3 9:29:28]
具体细节分析
1. 攻击者构造了攻击合约,利用闪电贷从 Solidity 借出 80000000 个 USDC 到攻击合约中
2. 接着通过 swap 函数将 1 个 USDC 兑换成 miMatic 代币,这里可以看到当前代币兑换率是 1:1.001109876698508218
3. 调用 depositSafe 函数将 79,999,997($80,079,997.00)个 USDC 充值进合约
DFI.Money(YFII)社区YIP-9提案通过,将上线有损挖矿和优质项目VC策略:DFI.Money(YFII)目前已经通过YIP-9提案,提案内容包括上线低风险有损挖矿如DODO/CoFiX等策略以及线下生息资产如Persistence的订单融资基金池,为风险偏好更高的客户提供更多挖矿选择。同时,YFII也将在同类项目中首个正式上线VC策略,包括非卖出的友好挖矿策略、LP合作策略和社区空投策略,此外,YFII也将在DFI Tuesday的社区会议中为其他优质项目提供AMA时间等合作方式。
提示:DFI Vault可以尽量帮助客户排除系统性的风险(比如智能合约的安全漏洞,项目是否有卷款跑路的可能),但不会排除市场和业务风险(比如 BTC 和 ETH 的相对价格发生剧烈变动,或者理论上无损swap实际上出现损耗)。[2020/10/25]
动态 | 日本Money Partners集团将和大和证券集团在区块链技术及区块链资讯领域进行合作:据Money Partners集团官网公告,3月25日,在其召开的股东大会上,该公司决议了和大和证券集团业务合作。两公司将在涉及区块链技术的业务和区块链技术相关咨询服务进行合作。据悉,Money Partners集团全资加密货币子公司Money Partners目前正作为准交易所(みなし業者)积极向日本金融厅申请牌照。[2019/3/25]
这里 depositSafe 函数会内部调用 _deposit 函数,_deposit 函数会调用 _doHardWorkAll 函数,在该函数中会使用 for 循环将部分存入的 USDC 全部兑换成其他的代币
然后 depositSafe 将约 41,965,509.691846094312718922 个 OShare 代币 mint 给攻击者。此时我们可以看到 OShare 的价格是 1062758591235248117 这个值
EOS官方:bithumb原CEO加入Block One EOS不断创新高:据EOS官方消息,EOS韩国发布会上,bithumb原CEO加入Block One(EOS的团队)。EOS宣布Block One现在拥有11亿美元的资金。EOS VC(风险投资)将有10亿美元用于dApps和项目,第一个风险投资伙伴关系将在本月下旬公布。EOS涨势迅猛,不断创新高。火币Pro数据显示,EOS现价16.49美元,涨幅22.77%[2018/1/13]
从下面这张图中可以看出在 swap 后攻击者使用两个 USDC 再次兑换 miMATIC 代币时此时的兑换率已经产生巨大变化:
4. 然后调用 withdraw 函数。我们可以看到 withdraw 函数也调用了getSharePrice 函数进行 OShare 的价格计算
我们来看 getSharePrice 函数:
这里调用了 balanceWithInvested 函数,继续跟进发现调用了 investedBalanceInUSD 函数:
这里可以看到最终影响价格的是 getUSDBalanceFromUnderlyingBalance 函数
在 getUSDBalanceFromUnderlyingBalance 函数中我们可以看到,该函数使用合约中两个代币的数量? _reserves0 和 _reserves1 这两个值进行计算,由于之前的 swap 导致大量的 USDC 留在池子中,所以导致池子中的 USDC 数量变大,从而使 _amount 变大,这就导致了 getSharePrice 函数获取到的当前 OShare 的价格变大了
由下图我们可以看到当前的 OShare 的价格为 1136563707735425848 这个值:
从下面的 withdraw 函数中可以看出最终的提现数量是通过 _withdraw 进行计算得出的
跟进去后发现 _toWithdraw 也是由 balanceWithInvested 计算得出的,这也就导致这个值变大
然后会在这一步将攻击者持有的 41965509 个 OShare 兑换为 81534750101089 个 USDC
5. 攻击者归还闪电贷后获利离场
MistTrack
据慢雾 MistTrack 分析,攻击者将获利的部分 USDC 换成 FTM、ETH,最后将 USDC、ETH 跨链到以太坊。同时,以太坊上黑客地址初始资金来自于 Tornado.Cash 转入的 0.1 ETH,接着黑客将 521 ETH 转入 Tornado.Cash。
截止目前,黑客以太坊地址仍有近 4.5 万美元,包括 14.86 ETH 和 100.29 USDC。慢雾 MistTrack 将持续监控黑客地址。
总结
本次攻击是由于在 MasterChefBaseStrategy 合约中的 getUSDBalanceFromUnderlyingBalance 函数实时储备量进行计算导致攻击者可以利用闪电贷制造巨大差值从而获利。慢雾安全团队建议在进行 share 的价格计算时不要使用实时储备量进行计算,避免再次出现此类事故。
标签:ONEUSDSHAREHAREmooney币价格走势BUSDX FuelSharesChainDibs Share
金色晚报 | 5月27日晚间重要动态一览:12:00-21:00关键词:比特大陆、Coinbase收购、ETH、EOS、Gemini 1. 国务院金融委办公室发布11条金融改革措施.
1900/1/1 0:00:00据曼谷邮报3月12日消息,泰国证券监管机构已经批准了该国第一个ICO门户网站。此外,SEC很可能会很快发布泰国首个STO申请标准.
1900/1/1 0:00:00作者简介:Shin’ichirio Matsuo是乔治敦大学(Georgetown University)密码学和信息安全领域的科研人员.
1900/1/1 0:00:00YFI创始人Andre Cronje的稳定币项目Stable Credit或许很快会上线了,而且将使用YFI作为抵押资产.
1900/1/1 0:00:00数字藏品与NFT差异何在?数字藏品是否仅是联盟链下巨头集聚勾结牟利的一颗棋子? 文/尹宁出品/陀螺研究院数字藏品,自2021年在国内崛起以来,其与NFT的对比从未停歇.
1900/1/1 0:00:00重点摘要:LP通证和去中心化稳定币是DeFi生态中的第一代“货币乐高”,它们也为新一轮的DeFi创新奠定了基础.
1900/1/1 0:00:00