本文來自AmberGroup,作者吳家志。原文標題:《ExploitingPrimitiveFinanceApprovalFlaws》。
事件摘要:2月24日,一篇關于PrimitiveFinance?的漏洞分析報告在圈內引發關注,報告描述了三個白帽攻擊以及漏洞原理。一個多月后的4月14日,以AmberGroup區塊鏈安全專家吳家志博士為代表的團隊,發現了一個錢包地址有超過100萬美金的資產存在風險。在本地復現攻擊后,其團隊通過Immunefi聯系了Primitive項目方,并成功協助潛在的受害者重置了WETH授權,解除危機。這篇文章將介紹該團隊如何在模擬環境中利用此漏洞,以及如何通過區塊鏈數據分析找到潛在的受害者錢包地址。
原理:智能合約中的裂隙
在目前EVM及ERC-20的架構中,當用戶與智能合約交互時,智能合約本身缺少一個能從代碼層面捕捉到ERC-20轉賬事件的回調機制。例如當Alice給Bob發100個XYZ代幣時,Bob的XYZ余額會被更新在XYZ合約里。但是Bob如何知道他的XYZ變多了呢?他可以查Etherscan或者其錢包App自動從以太坊節點取得的最新余額。如果Alice將100XYZ發給一個智能合約Charlie,Charlie如何得知他的XYZ余額增加了呢?
事實上Charlie沒辦法在收到100XYZ的當下主動取得他最新的余額,原因是這個轉賬是在XYZ合約上發生的,不在Charlie合約。智能合約部署完成后就像操作系統一樣,是一堆代碼放在某個地方,需要被調用了才會發生作用。為了解決這個難題,在ERC-20標準有一個被廣泛使用的機制—approve()/transferFrom()。
動態 | 印度Bitconnect負責人因涉嫌數百萬美元投資詐騙被捕:據Bitcoin消息,印度Bitconnect負責人Divyesh Darji本周在馬德里的一個機場被捕。被捕的原因是,他和同謀因涉嫌數百萬美元投資詐騙。他們利用每月60%的利息,“推薦利益”等形式吸引、欺詐投資者。[2018/8/20]
舉例來說,當Alice需要往Charlie存入100個XYZ代幣時,Alice可以事先授權Charlie使用她的100XYZ額度,此時Charlie的deposit()函數就可以在一個交易里通過transferFrom()主動將Alice錢包里的100XYZ取出,并且更新Charlie合約的狀態。為了減少摩擦,很多DApp甚至會讓用戶授權無限多的XYZ額度給項目方地址,這樣可以讓后續的transferFrom()調用直接成功,免除掉多次授權的點擊以及手續費,這等同于將Charlie加白。這個方案留下了一個隱患,萬一Charlie作惡或是被攻擊了,Alice的資產就會有危險。
這個發生于2020年6月18日的意外證實了一個被控制或存在問題的智能合約可以如何被利用并且造成資產損失,如下代碼所示,safeTransferFrom()雖然名為safe的transferFrom卻意外被宣告成公開函數,導致任何人都可以使用Bancor合約的身份轉移任意用戶任意數量的任意資產到任意的地址。
印度破獲加密貨幣詐騙案 涉案金額達數百萬美元:據CCN消息,今日印度金融首府的犯罪部門破獲了Flintstone集團的加密貨幣詐騙案,數額高達數百萬美元。據悉,Flintstone集團自2016年起以房地產公司的名義出售房產,除此之外,他們向非洲國家的公民承諾提供投資“即將法定”的加密貨幣MoneyTradeCoin(MTC)的機會,并向投資者承諾6個月內有20倍的投資回報。但是到期之后公司卻找各種借口推脫,拒不退錢。目前正在處理此案件。[2018/6/5]
簡單舉例來說,如果Alice正好使用過Bancor并且授權Bancor無限額度使用她的DAI,則一旦她的錢包里DAI余額大于零時,黑客就可以立即把她的DAI轉走。
診斷:黑客是怎樣繞開“安檢”的?
根據上文的漏洞分析報告所述,這個外部函數有一個類似的漏洞,但無法像Bancor的漏洞一樣被直接利用。事實上,攻擊者需要偽造兩個ERC20代幣合約,一個Uniswap資金池,并且發起一筆Uniswap閃電貸繞過下圖標注的?msg.sender==address(this)?檢查。聽起來復雜,但對于有經驗的黑客來說,這并不是太困難。
Primitive為何需要實現?flashMintShortOptionsThenSwap()?這樣一個接口呢?其實是有特定使用場景的,在?openFlashLong()函數可以看到,flashMintShortOptionsThenSwap()?會被封裝在一個Uniswap的flash-swap調用參數里,在第1371行觸發flash-swap之后,由回調函數?UniswapV2Call()?調起。此時由于?UniswapV2Call()?在Primitive合約里,便可以通過上述?msg.sender==address(this)?檢查。
巴基斯坦居民被指控用比特幣洗錢數百萬美元:特拉維夫地區法院收到來自巴勒斯坦城市希布倫的Halmi Git的起訴書,內容涉及到管理論壇以分享和銷售竊取的信用卡信息。據稱,他的論壇涉及欺詐來自世界各地的約130萬名用戶。此外,Halmi為掩蓋行蹤,還要求受騙用戶通過比特幣支付給他所有款項,并通過技術手段不斷地偽裝自己的身份,在不同的比特幣錢包之間進行了大量的轉賬。[2018/5/22]
值得注意的是,在?openFlashLong()函數里,第1360行寫的是?msg.sender,表示在正常的情況下,Primitive只能使用調用者本身的資金,然而攻擊者可以通過偽造的pair以及params用類似于1371行的方式直接調用Primitive合約的UniswapV2Call()并繞過?flashMintShortOptionsThenSwap()?的檢查。由于params在這情況下可以完全被控制,1360行的msg.sender便可以被替換成任意曾經授權Primitive的錢包地址,然后通過?flashMintShortOptionsThenSwap()?里的?transferFrom()?調用盜取資產。
追蹤:找出可能的受害者
如果一個黑客碰巧知道某位“大戶”曾授權有問題的合約,他可以輕易利用這個漏洞盜取受害人大量的資金。然而,這件事情如果僅使用區塊瀏覽器是很難做到的,尤其在合約已經部署了較長時間,并有大量用戶量的情況下。其中需要分析的數據并非是靠人工搜索Etherscan能夠實現的。
加密貨幣投資者直播時被騙價值兩百萬美元的Ether:據ccn消息,有名的加密貨幣投資者和Youtube博主Ian Balina昨天晚上在直播評論一個ICO項目時意識到他被黑客攻擊。 他被要求重新登錄Google以保存他所使用的電子表格后結束了直播。Balina在社交媒體向其追隨者尋求支持,追查超過200萬美元的加密貨幣是如何從他的Etherscan錢包中被轉移。他表示自己不關心這些錢,只是想抓住攻擊者。 Balina主要的電子郵件帳戶由其多年不用的大學電子郵件帳戶作為驗證賬戶,可以被用來重置他現在使用的郵箱密碼。黑客發現了這個帳戶并訪問了它,使用它重置密碼并訪問Balina的主要帳戶。Balina的個人和公共密鑰存儲云存儲程序Evernote上,并使用密碼保護。黑客訪問 Balina的電子郵件后,重置Evernote密碼并獲得價值數百萬美元的加密貨幣是很簡單的一件事。[2018/4/17]
GoogleCloudPublicDatasets在此時可發揮作用。由于每一個成功的approve()調用都會在以太坊上發出一個Approval()事件,我們可以通過BigQuery服務找出所有事件并且通過一些方法過濾出我們感興趣的部分,例如_spender是Primitive合約的所有事件。
下面是我們在GCP上實際用來找出潛在受害者使用的SQL語句,其中第五行可以看到我們限定搜索的以太坊數據庫及記錄事件的表,第七行過濾出Approval()事件,第八行過濾了特定的_spender。此外,第六行將區塊高度范圍設定在Pirmitive合約部署之后,這可以大幅降低BigQuery掃過的數據量,這類的SQL優化會直接反應在你的GCP賬單里。
數字貨幣基金CoAlpha完成數百萬美元融資:據騰訊眾創空間消息,數字貨幣基金“CoAlpha”獲得了數百萬美元基石投資。Coalpha率先提出了“數字資產基金2.0”的概念,旨在為“數字資產基金”行業提出解決方案,通過區塊鏈技術使追溯基金數據、達到數據信息不可篡改、收益可及時合理分配的效果。Coalpha本輪融資的投資方為“分布式資本”。在此之前,CoAlpha就已經獲得了迅雷創始人鄒勝龍的投資。[2018/4/2]
接下來,我們可以進一步優化SQL查詢將已經通過approve(_spender,0)重置授權的賬號從清單中刨除,得到最終的賬號列表。有了最終的列表,我們利用一個腳本監控著這些賬號,并且在這些危險賬號收到大量資產時發出預警,因為這很可能會造成嚴重的損失。
在一個星期三的清晨,機器人發出了預警,有一個可能的受害人在北京時間4月13日清晨5點24分收到了將近500WETH的資產,價值超過一百萬美金。相較于已公開的三次白帽攻擊,這個受害人如果被成功攻擊,所損失的金額將高于稍早的三個案例的總和。
我們在北京時間9:32緊急聯系了Primitive項目的漏洞賞金計劃運營方Immunefi并且向他們展示我們如何利用這個漏洞在模擬環境中盜取受害人的500WETH,并且提供包括下面的截屏等證據。
在Primitive團隊的幫助下,潛在的受害人于10:03將WETH授權重置,解除危機。
兩天后,Primitive團隊也針對此發現給予漏洞獎勵并發布公開致謝。該筆賞金發稿前已捐助給CryptoRelief。
復現:分布拆解漏洞的利用
漏洞利用的第一步,我們需要準備兩個ERC20合約:Redeem及Option。
其中Redeem合約是一個標準的ERC20,我們只需要基于OpenZeppelin的實現將mint()接口暴露出來,方便我們控制代幣數量,如下所示:
Option合約會相對復雜一點,從下面的代碼片段可以看到,我們需要刻意構造一些全局變量,以及公開函數,這些都是在Primitive的業務邏輯會用到的。此外,我們還需要傳入三個參數來初始化Option合約:
·???????redeemToken:稍早構造的Redeem合約地址
·???????underlyingToken:攻擊目標賬號所持有的資產合約地址
·???????beneficiary:受益人地址,也就是攻擊成功后將受害人資產轉移的目標地址
這里需要特別說明的是mintOptions()這個函數,從上面的代碼可以看到,它會直接把所有的underlyingToken發給beneficiary地址。這是因為下面的內部函數mintOptionWithUnderlyingBalance()函數在被?flashMintShortOptionsThenSwap()時會將underlyingToken發給Option代幣合約,并且通過mintOptions()調用鑄造Option代幣。因此,我們在偽造的Option合約里,可以直接把mintOptions()當作一個提幣調用,將underlyingToken發給beneficiary,用于之后歸還閃電貸的資金。
接下來,我們可以用剛剛創建的Redeem及Option代幣創建一個Uniswap的流動性池子,這個池子的地址將用來接收從受害人錢包轉出的資金。事實上,每個Uniswap池子里有等價的兩種資產,例如WETH及Redeem,為了完成漏洞利用,我們必須為池子注入流通性。Redeem是我們自己創建的,可以鑄造無限量的代幣,但WETH呢?
在閃電貸的幫助下,我們基本上可以利用無限數量的資金來做如何事情,只要確保能在一個交易中歸還資金即可。在這個案例中,我們使用AaveV2的閃電貸借了相當于受害人總資產99.7%的資金存入上述的流動性池。
根據Aave的設計,需要實現一個回調函數executeOperation()執行獲得貸款資金后的操作,并且在最后通過approve()調用授權Aave合約取走閃電貸的資產以及手續費。
總結
在基于EVM的智能合約世界里,approve()/transferFrom()是長久以來存在的固有問題。對于DeFi用戶而言,需要多留意你的錢包地址是否正允許著其他人使用你的資產,并且定期重置資產使用權。對于項目方而言,需要在上線之前花更多心思和時間從各種可能的角度測試,甚至攻擊你的代碼,因為你正在編程的,是每位用戶的真金白銀。
關于作者
吳家志受聘于全球領先的加密金融智能服務提供商AmberGroup,作為區塊鏈安全專家。他畢業于美國北卡州立大學計算機專業,獲得博士學位,師從安卓安全領域領軍者蔣旭憲教授,在美國讀書期間一直從事系統安全研究,主要方向為虛擬化安全、安卓系統安全。吳家志博士在全球安卓安全領域有很大的影響,發表過多篇科技論文,在安卓系統漏洞安全方面經驗豐富。他于2017年開始轉戰至區塊鏈安全領域,曾擔任全球第一家去中心化匿名眾測平臺DVP負責人,號召全網白帽黑客一起尋找開源底層代碼中的漏洞。
Tags:IONOPTPTIOPTIGlobal Innovative SolutionsOptimusCatWrapped Optimusoptimus幣最新消息
本文來源于Bankless,作者為WilliamM.Peaster,并經由Unitimes獨角時代翻譯.
1900/1/1 0:00:00本文來自比推BitpushNews,作者ClareWang。2011年4月26日,比特幣創始人中本聰(SatoshiNakamoto)向其他開發人員發送了最后一封電子郵件,他在郵件中明確表示,他.
1900/1/1 0:00:00本文作者系MetaCartel創始人、1kx團隊成員pet3rpan,并經由谷昱編譯。去中心化社區是加密行業最重要的推動力之一,越來越多項目開始致力于建設去中心化社區,但其中存在諸多難點與誤區.
1900/1/1 0:00:00本文來源于中新經緯,作者為常濤,并經由趙佳然編輯,羅琨審校。宅男們怎么也沒想到,硬盤竟成了理財產品。“4200元已經是跳水價了,求老板秒了我的貨,急需回籠資金.
1900/1/1 0:00:00鏈捕手消息,基于波卡的合成資產協議Coinversation宣布與智能合約平行鏈Plasm達成戰略合作,通過這次合作,Coinversation將與Plasm團隊緊密合作.
1900/1/1 0:00:00據鏈捕手不完全統計,5月10日到5月16日期間,區塊鏈行業共發生29起公開投融資事件,方向主要集中在DeFi,NFT板塊.
1900/1/1 0:00:00