CRV:慢霧：Value DeFi 協議閃電貸攻擊分析_SWAP

鏈聞消息，ValueDeFi的MultiStables保險庫遭遇閃電貸攻擊，慢霧安全團隊于第一時間跟進并進行相關分析，以簡要的形式呈現給大家，供大家參考。1.攻擊者首先從Aave中借出80000個ETH，為攻擊做準備；2.攻擊者使用80000個ETH在UniswapWETH/DAI池中用閃電貸借出大量的DAI和在UniswapWETH/DAI兌換出大量的USDT；3.用戶調用ValueMultiVaultBank合約的deposit合約使用第2步中小部分的DAI進行充值，ValueMultiVaultBank合約中一共有3種資產，分別是3CRV、bCRV、和cCRV。ValueMultiVaultBank合約在鑄幣的時候會將合約中的bCRV、cCRV轉換成以3CRV進行計價，轉化的途徑為bCRV/cCRV->USDC->3CRV。其中USDC->3CRV使用的是DAI/USDC/USD池中USDC/3CRV的價格。轉換完成后，ValueDeFi合約根據合約中總的3CRV的價值和攻擊者充值的DAI數量計算mVUSD鑄幣的數量；4.攻擊者在CurveDAI/USDC/USDT池先使用第二步中剩余的大部分DAI和USDT兌換USDC，拉高DAI/USDC/USDT池中的USDC/3CRV的價格；5.攻擊者在ValueMultiVaultBank合約中發起3CRV提現，此時ValueMultiVaultBank合約和第3步一樣，會先將合約中的bCRV、cCRV轉換成以3CRV計價，由于在第4步中，USDC/3CRV的價格已經被拉高，導致換算的過程中，ValueMultiVaultBank合約中的bCRV,cCRV能換算成更多的3CRV，也就是說使用同等份額的mVUSD可以換取更多的3CRV；6.拿到3CRV后，攻擊者到Curve的DAI/USDC/USDT池中使用3CRV換回DAI，并在Uniswap中兌換回ETH，然后歸還Aave的閃電貸。總結：由于ValueDeFi合約在鑄幣過程中將合約資產轉換成3CRV時依賴CurveDAI/USDC/USDT池中USDC/3CRV的價格，導致攻擊者可以通過操控CurveDAI/USDC/USDT池中USDC/3CRV的價格來操控mVUSD/3CRV的價值，從而獲利。

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

聲音 | 慢霧：警惕“假充值”攻擊:慢霧分析預警，如果數字貨幣交易所、錢包等平臺在進行“EOS 充值交易確認是否成功”的判斷存在缺陷，可能導致嚴重的“假充值”。攻擊者可以在未損失任何 EOS 的前提下成功向這些平臺充值 EOS，而且這些 EOS 可以進行正常交易。

慢霧安全團隊已經確認真實攻擊發生，但需要注意的是：EOS 這次假充值攻擊和之前慢霧安全團隊披露過的 USDT 假充值、以太坊代幣假充值類似，更多責任應該屬于平臺方。由于這是一種新型攻擊手法，且攻擊已經在發生，相關平臺方如果對自己的充值校驗沒有十足把握，應盡快暫停 EOS 充提，并對賬自查。[2019/3/12]

聲音 | 慢霧：ETC 51%雙花攻擊所得的所有ETC已歸還完畢:據慢霧區消息，ETC 51%攻擊后續：繼Gate.io宣稱攻擊者歸還了價值10萬美金的ETC后，另一家被成功攻擊的交易所Yobit近日也宣稱收到了攻擊者歸還的122735 枚 ETC。根據慢霧威脅情報系統的深度關聯分析發現：攻擊者于UTC時間2019年1月10日11點多完成了攻擊所獲的所有ETC的歸還工作，至此，持續近一周的 ETC 51% 陰云已散。[2019/1/16]

Tags：CRVUSD3CRVSWAPRHOBUSD3CRV價格DSWAP價格

抹茶交易所