千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析

区块链安全 2年前 (2021) admin
842 0 0

By:九九@慢雾安全团队


2021 年 11 ⽉ 30 ⽇,据慢雾区消息,DeFi 平台 MonoX Finance 遭遇攻击,本次攻击中约合 1820 万美元的 WETH 和 1050 万美元的 MATIC 被盗,其他被盗 Token 包括 WBTC、LINK、GHST、DUCK、MIM 和 IMX,损失共计约 3100 万美元。慢雾安全团队第⼀时间介⼊分析,并将简要分析结果分享如下。


攻击核心


本次攻击的核⼼在于利⽤ swap 合约中没有对池中传⼊和传出代币是否相同作检查,以此利⽤价格更新机制的缺陷,使得攻击者传⼊和传出代币相同时,价格被二次计算并覆盖,导致代币价格不断被推⾼,并以此代币换出池中的其他代币来获利。


相关信息


MonoX 是⼀种新的 DeFi 协议,使⽤单⼀代币设计⽤于流动性池。这是通过将存⼊的代币与 vCASH 稳定币组合成⼀个虚拟交易对来实现的。其中的单⼀代币流动性池的第⼀个应⽤是⾃动做市商系统 – Monoswap,它在 2021 年 10 ⽉时推出。


攻击者地址 1:

0xecbe385f78041895c311070f344b55bfaa953258

攻击者地址 2

0x8f6a86f3ab015f4d03ddb13abb02710e6d7ab31b

攻击合约 1

0xf079d7911c13369e7fd85607970036d2883afcfd

攻击合约 2:

0x119914de3ae03256fd58b66cd6b8c6a12c70cfb2

攻击交易 1:

https://etherscan.io/tx/0x9f14d093a2349de08f02fc0fb018dadb449351d0cdb7d0738ff69cc6fef5f299

攻击交易 2:

https://polygonscan.com/tx/0x5a03b9c03eedcb9ec6e70c6841eaa4976a732d050a6218969e39483bb3004d5d


攻击细节

1、首先攻击者调用 Monoswap.swapExactTokenForToken:

0.1 个 WETH 换出 79.986094311542621010 个 MONO。


2、接着攻击者利用漏洞移除池子中其他用户的流动性,并为添加攻击合约的流动性以此来获取最大的利益。


这里移除流动性处的漏洞在 Monoswap.sol 中的 471-510 行,移除池中流动性时通过 removeLiquidity 函数调用 _removeLiquidityHelper 函数,而这两个函数都未做调用者和传入的 to 参数的身份验证,所以可直接移除任意用户在池中的流动性。


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


  • 移除 0x7b9aa6 的流动性,把 1670.7572297649224 个 MONO 和 6.862171986812230290 个 vCASH 转出给 0x7b9aa6;


  • 移除 cowrie.eth 的流动性,把 152.9745213857155 个 MONO 和 0.628300423692773565 个 vCASH 转出给 cowrie.eth;


  • 移除 0xab5167 的流动性,把 99940.7413658327 个 MONO 和 410.478879590637971405 个 vCASH 转出给 0xab5167;


为攻击合约 1 在 MONO 代币流动池创建流动性。


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


3、紧接着攻击者调⽤ 55  Monoswap.swapExactTokenForToken 以此来不断堆⾼ MONO 的价格。


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


这里攻击的核心是在 Monoswap.sol 中的 swapExactTokenForToken 函数,攻击者传入 MONO 代币使得 tokenIn 和 tokenOut 是相同的代币。


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


跟到 swapIn 函数中:


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


可以发现在 swapIn 函数中,调用了函数 getAmountOut 来计算价格。接着跟到 getAmountOut 函数中发现是利用了 _getNewPrice 函数来计算 tokenInPrice 和 tokenOutPrice。


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


跟到 _getNewprice 函数中,发现当计算 tokenInPrice 时候传入的 txType 参数为 TxType.SELL,此时:


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


当计算 tokenOutPrice 时候传入的 txType 参数为 TxType.BUY,此时:


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


如果传入和传出为同一种代币时,价格计算式中的四个变量都相同,所以很容易得出 tokenOutPrice 会比 tokenInPrice 要大。


由于 tokenIn 和 tokenOut 是同一个 token,swapIn 函数在计算完价格后会再次调用 _updateTokenInfo 函数,使得 tokenOutPrice 的更新会覆盖 tokenInPrice 的更新,所以导致这个 token 的价格上涨。


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


4、最后攻击者调用 swapTokenForExactToken 函数用 MONO 来换出池子中的其他代币。


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


swapTokenForExactToken 函数中调用了 swapOut 函数,而 swapOut 函数中计算价格是调用的 getAmountIn 函数。


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


在该函数中由于 tokenInPoolPrice 是取的 MONO 代币在池中的价格,而此价格在之前已被推高,导致 tokenInPrice 变大,计算最后的 amountIn 变小,用更少的 MONO 换出了原来相同数量的 WETH、WBTC、MONO、USDC、USDT、 DUCK、MIM、IMX 等池子中的代币。


千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析


5、攻击者最终把攻击获利转入地址

0x8f6a86f3ab015f4d03ddb13abb02710e6d7ab31b。


以上为以太坊主链上的攻击分析,此外,攻击者除了在以太坊主链上进行攻击外,还在 Polygon 上进行了同样的攻击,攻击手法与以太坊主链上相同,此处不做过多重复的分析。


据慢雾 AML 统计,MonoX Finance 最终损失约 3400 万美元,包括约 2.1K 个 WETH、1.9M 个 WMATIC、36.1 个 WBTC、143.4K 个 MONO、8.2M 个 USDC、 9.1M 个 USDT、1.2K 个 LINK、3.1K 个 GHST、5.1M 个 DUCK、4.1K 个 MIM 以及 274.9 个 IMX。


总结


本次攻击是利用了 swap 合约里没有对池中传入和传出代币作检查,从而利用价格更新机制的问题,由于在 swap 合约中会对池中传入和传出的代币的价格调用同一个函数 _upTokenInfo 来进行更新,而当传入和传出的代币为同一种代币时,第二次调用 _upTokenInfo 函数时,通过价格计算后的更高的 tokenOutPrice 会覆盖掉价格更低的 tokenInPrice,以此来不断推高池中该代币的价格,最后可以换出池中其他的所有代币来获利离场。


往期回顾

慢雾:假钱包 App 已致上万人被盗,损失高达十三亿美元

慢雾科技受中国人民公安大学邀请进行区块链安全攻防授课

慢雾 AML:“揭开” Tornado.Cash 的匿名面纱

DeFi 平台 Cream Finance 再遭攻击,1.3 亿美金被盗

慢雾区 | 区块链被黑档案库升级上线

千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


币乎

https://bihu.com/people/586104


知识星球

https://t.zsxq.com/Q3zNvvF


火星号

http://t.cn/AiRkv4Gz


链闻号

https://www.chainnews.com/u/958260692213.htm

原文始发于微信公众号(慢雾科技):千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析

版权声明:admin 发表于 2021年12月1日 上午10:02。
转载请注明:千万美元被盗 —— DeFi 平台 MonoX Finance 被黑分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...