ETH:首发｜空手套以太：Balancer攻击解析

6月29日北京时间凌晨2点03分，CertiK天网系统 (Skynet) 检查到在区块10355807处Balancer DeFi合约异常，安全研究员迅速介入调查，攻击过程浮出水面。

6月29日凌晨2点03分，攻击者利用从dYdX闪电贷中借到的WETH，大量买进STA代币，使得STA与其他代币的兑换价格急剧上升。然后使用最小量的STA（数值为1e-18）不断回购WETH，并在每次回购后，利用Balancer的合约漏洞重置其内部STA的数量（数值为1e-18），以此稳住STA的高价位。

攻击者不断利用漏洞，用高价的STA将某一种代币完全买空（WETH，WBTC, LINK和SNX），最终用WETH偿还闪电贷，并剩余大量STA,WETH，WBTC, LINK和SNX，并通过uniswap将非法所得转移到自己账户中。此次攻击约获利90万人民币。

中国移动首发数字藏品——“五省八县乡村振兴”将于明日上线:金色财经消息，中国移动12582基地、中国移动（成都）产业研究院、中技所数字科技创新研究院，将于19日在数字藏品平台“星元数”上分批发行中国移动首发数字藏品——“五省八县乡村振兴”。该批数字藏品均将在新华网“五省八县”元宇宙乡村振兴展中精彩亮相。

据介绍，“五省八县乡村振兴”数字藏品是从全国各地小朋友投递的百余张描绘“五省八县”人文风光的作品中选出。展览将运用元宇宙技术让每位观众都可以跟随孩子的视角徜徉在充满童趣的场景中，穿越到乡村的美妙世界，感受青山绿水、美丽田间的快乐。（河北新闻网）[2022/4/18 14:31:12]

CertiK分析的此次事件攻击者心理画像：

攻击者在调取STA余额后，快速调用swapExactAmountIn函数购买STA，并在第24次交易使用了另一个函数swapExactAmountOut精准的将STA的数目买到了最小值（1e-18)，从而最大化后续攻击的效率。最开始的6笔交易，在没有必要的情况下，3次买入后卖出，损失了4个WETH，故布疑云。并且能够做到隐匿自己的闪电贷阶段痕迹来看，有黑客特性。

Gate.io Startup首发项目FEAR已认购成功:据官方公告，Gate.io Startup首发项目Fear NFTs (FEAR)已认购成功，FEAR交易上线时间待定，用户上线前会获得代币。据悉，本次认购参与人数共有5,001人，下单总价值超过1,000万美金，认购系数约为0.0067。Gate.io将根据每个人的下单情况和每个下单币种的认购系数进行FEAR的分发。请务必注意：由于部分用户在下单认购后到当天16点之前，没有保持账户中有不低于认购金额的足够金额，因此被排除在有下单之外。[2021/5/19 22:18:43]

CertiK判断攻击者是有经验的黑客团队在充分准备后的一次攻击尝试，有很大可能还会继续攻击其他DeFi合约。

阶段0：攻击者从dYdX闪电贷处借款，获得初始WETH资金。

阶段1：攻击者使用WETH将Balancer中的STA尽可能买空，最大程度提高STA价格。

阶段2：攻击者用获得的STA多次买回WETH。每一次都用最小量的STA（数值为1e-18）进行购买，并利用Balancer内部漏洞函数gulp()，锁定STA的数目，控制STA对WETH的价格。重复多次该种买回操作，直到将Balancer中的WETH取空。

库币将于2月9日17:00首发上线DAO:据库币KuCoin交易所消息，库币将于2月9日17:00首发上线Dao Maker (DAO)项目并支持DAO/USDT交易服务。DAO Maker 的使命是为大众重新构筑参与风险投资的机会，同时创建可加快初创企业成功的工具。库币数字货币交易所，为来自207个国家的600万用户提供币币、法币、杠杆、合约、矿池、借贷等一站式服务。[2021/2/8 19:11:39]

阶段3：换一种代币，用STA重复阶段2直到取空该种代币。阶段三重复了三次，一共有4种代币受到了损失WETH，WBTC, LINK和SNX。

阶段4：偿还dYdX闪电贷，离场。

阶段1： 从Balancer中取光所有的STA

霍比特交易所首发项目币种HD（HubDAO）上线最高涨幅达152.21%:据霍比特HBTC行情页显示，平台内首发项目币种HD（HubDAO）上线即上涨，截止快讯时间，最高涨幅达152.21%，暂报价0.6186 USDT。

另悉，霍比特HBTC已于2020年10月23日16:00（UTC+8）正式开启“交易瓜分5,000 USDT”和“净买入排名瓜分10,000 USDT”双重奖励活动。活动详情见原文链接。[2020/10/23]

前24笔交易将从闪电贷中借到的WETH交易为STA，尽可能降低Balancer中的STA数目，从而提升STA对其他代币的价格。 

阶段2：将STA交易为WETH，利用gulp函数漏洞控制价格

在阶段2开始时候，STA的总数目始终被gulp函数重置为之前的1e-18。在第一次通过swapExactAmountIn函数将STA交易为WETH时，攻击者故意将STA交易的数目设为1e-18，由于在交易模型中，STA的数目极小，因此STA的价格相对其他代币会极高。在完成第一次交易后，在Balancer中STA的数目应为2e-18。

动态 | 中行宁波市分行首发宁波跨境金融区块链服务平台业务:据中国新闻网报道，近日，中行宁波市分行成功在跨境金融区块链服务平台上为某国际贸易有限公司办理了宁波市首笔出口商业发票贴现业务，标志着跨境金融区块链服务平台试点工作在宁波已有初步成效。[2019/7/24]

在第二次通过swapExactAmountIn将STA交易为WETH之前，攻击者通过调用gulp函数，将在Balancer中的STA数目使用内部记录的1e-18来覆盖当前STA的真实数目（2e-18）。因此在购买WETH时，STA依然可以保持高价。但是因为购买WETH后，WETH的数量减少，每次攻击的非法所得逐渐减小，18次攻击后，Balancer中的WETH被完全盗取。

阶段3：转移目标

当Balancer中的WETH被完全盗取后，攻击者利用相同漏洞，对Balacner的其他代币（WBTC, LINK和SNX）重演攻击，盗光了4种代币后隐遁。

攻击者获利

攻击者攻击地址：

0x81D73c55458f024CDC82BbF27468A2dEAA631407

攻击者最终收款地址：

0xbf675c80540111a310b06e1482f9127ef4e7469a

攻击者最终获利：565.5326240837032 ETH, 约合90万人民币（北京时间20200630早9点30分价格）

Balancer合约的gulp()函数作用为将某一种代币的内部记录数值覆盖到当前该种代币的真实数目，但是错误的把他设置成没有限制的external函数。gulp()函数不应该为external，或者应该加入对于特定使用者或者智能合约拥有者的验证或者防护限制条件。

参考资料：

1. Balancer Github:

https://github.com/balancer-labs/balancer-core/blob/140df49361a58e6c79b395964be98387702a7c0d/contracts/BPool.sol#L334

https://github.com/balancer-labs/balancer-core/blob/140df49361a58e6c79b395964be98387702a7c0d/contracts/BMath.sol#L28

https://github.com/balancer-labs/balancer-core/blob/140df49361a58e6c79b395964be98387702a7c0d/contracts/BPool.sol#L423

2. 攻击交易历史记录：

https://ethtx.info/mainnet/0x013be97768b702fe8eccef1a40544d5ecb3c1961ad5f87fee4d16fdc08c78106

3. 官方攻击报告：

https://medium.com/balancer-protocol/incident-with-non-standard-erc20-deflationary-tokens-95a0f6d46dea

了解更多

General Information: info@certik.org

Audit & Partnerships: bd@certik.org

Website: certik.org

Twitter: @certik.org

Telegram: t.me/certik.org

Medium:medium.com/certik

币乎：bihu.com/people/1093109

标签：STACERETHALASTATIC币SaucerSwapethylenecarbonateVALAS币

FIL币热门资讯