SLP:以小博大,简析 Sushi Swap 攻击事件始末

By:??yudan@慢雾安全团队

2020年11月30日,据慢雾区情报,以太坊AMM代币兑换协议SushiSwap遭遇攻击,损失约1.5万美元。慢雾安全团队第一时间介入分析,并以简讯的形式分享,供大家参考。

背景提要

SushiSwap项目中SushiMaker合约的作用是用于存放SushiSwap中每个交易对产生的手续费。其中手续费会以SLP(流动性证明)的形式存放在合约中。SushiMaker合约中有一个convert函数,用于将从每一个交易对中收集的手续费通过调用各自交易对的burn函数获得对应的代币,然后将这些代币转换成sushi代币,添加到SushiBar合约中,为SushiBar中抵押sushi代币的用户增加收益,而此次的问题就出在SushiMaker合约。

FSB:全球标准制定者将联手应对DeFi监管:金色财经报道,金融稳定委员会(FSB)发布报告表示,将与其他国际标准制定者合作,确定应如何在不同的司法管辖区监管去中心化金融(DeFi)活动。报告称,金融稳定委员会还将探讨在多大程度上加强其针对加密领域的拟议政策建议,以应对DeFi的特定风险。此外,它还计划与其他国际标准制定者合作,探讨如何填补衡量和监测DeFi与传统金融的相互联系方面的数据空白。

FSB表示,DeFi在其履行的职能或面临的脆弱性方面与传统金融没有本质区别。尽管其研究结果显示,DeFi、实体经济和传统金融之间的相互联系是有限的,但“如果DeFi生态系统大幅增长,那么外溢效应的范围将增加。它将开展额外的工作,分析资产代币化的影响,因为这可能增加DeFi市场和实体经济之间的联系。

金色财经此前报道,金融稳定委员会拟于2023年7月发布加密国际监管框架的最终报告。[2023/2/16 12:11:16]

攻击流程

SBF:FTX仍有偿付能力,FTX US至少有1.11亿美元“多余现金”:金色财经报道,已破产的FTX首席执行官SBF在社交媒体发文称,FTX仍有偿付能力,根据他发布的文章称, Sullivan & Cromwell (S&C) 发布的某些内容极具误导性,未将 4.28 亿美元作为资产计入 FTX US 的银行账户。除了匹配客户余额所需的资金外,FTX US 至少有 1.11 亿美元(可能约为 4 亿美元)的多余现金,而资产负债表显示 FTX US 资本过剩约 3.5 亿美元。[2023/1/18 11:17:50]

1、攻击者选中SushiSwap中的一个交易对,如USDT/WETH,然后添加流动性获得对应的SLP(USDT/WETH流动性证明,以下简称SLP),使用获得的SLP和另外的少量WETH创建一个新的SushiSwap交易对,然后得到新代币池的SLP1(WETH/SLP(USDT/WETH)流动性证明,以下简称SLP1)转入?SushiMaker合约中。

美国消费者金融保护局:没有计划扩大对加密货币领域执法力度:金色财经报道,美国消费者金融保护局(CFPB)局长今天表示,该局并不打算立即打击加密货币,加密货币不是产品,某些电子消费交易是。此外,他称没有计划扩大对加密货币领域执法力度,并认为国会应该优先考虑关于稳定币监管框架的立法。

此前8月消息,CFPB要求联邦法院强制Block遵守与其支付工具Cash App相关的两项调查要求。(The Block)[2022/12/15 21:46:02]

2、调用SushiSwap的convert函数,传入的token0为第一步获得的SLP,token1为WETH。调用convert函数后,SushiMaker合约会调用token0和token1构成的代币池的burn函数燃烧SLP1,燃烧掉攻击者在第一步中打入SushiMaker合约中的SLP1,得到WETH和SLP。

合成资产协议Synthetix已更新至Saiph版本:6月10日消息,合成资产协议 Synthetix 已于今日更新至 Saiph 版本,该版本更新包括更新 Issuer 修改器、仅允许通过代理进行代币转账、更正清算数额。[2022/6/10 4:16:19]

3、SushiMaker合约的convert函数紧接着会调用内部的_toWETH函数将burn获得的代币转换成WETH,由于在第二步SushiMaker合约通过burn获得了SLP和WETH。其中WETH无需转换,只需转换SLP。此时,转换将会通过调用SLP/WETH交易对进行转换,也就是攻击者在第一步创建的交易对。由于SushiMaker合约在转换时会将所有的balanceOf(token0)转换成WETH,这里传入的token0为SLP,于是合约将合约中所有的SLP通过SLP/WETH交易对进行兑换(兑换的SLP包含USDT/WETH交易对每次swap产生的收益和在第二步合约通过burn函数获得的SLP)。而SLP/WETH代币池是攻击者创建的,攻击者只需在初始化的时候添加少量的WETH,就可以在SushiMaker交易对进行兑换的过程中,用少量的WETH换取SushiMaker合约中对应交易对的所有的SLP。

4、攻击者使用burn函数在SLP/WETH交易对中燃烧掉自己的SLP1,拿到大量的SLP和小量的WETH,并继续对其他流动性池重复该过程,持续获利。

总结

攻击者使用SLP和WETH创建一个新的代币池,使用新代币池的SLP1在SushiMaker中进行convert,使用少量的SLP将SushiMaker合约中的所有SLP转到自己创建的代币池中,即将对应交易对一段时间内的所有手续费收入囊中。并对其他交易对重复这个过程,持续获利。

往期回顾

假钱换真钱,揭秘PickleFinance被黑过程

闪电贷+重入攻击,OUSD损失700万美金技术简析

如何使用闪电贷从0撬动百万美元?ValueDeFi协议闪电贷攻击简要分析

无中生有?DeFi协议Akropolis重入攻击简析

Acala创世已通过慢雾科技安全审计

慢雾导航

慢雾科技官网

https://www.slowmist.com/

慢雾区官网

https://slowmist.io/

慢雾?GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

币乎

https://bihu.com/people/586104

知识星球

https://t.zsxq.com/Q3zNvvF

火星号

http://t.cn/AiRkv4Gz

链闻号

https://www.chainnews.com/u/958260692213.htm

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:62ms0-0:749ms