TOK:慢雾：详解Uniswap的ERC777重入风险_etherark

编者按：本文来自慢雾科技，Odaily星球日报授权转载。

前言

据链闻消息，4月18日，Tokenlon宣布暂停imBTC转账，因其发现有攻击者通过ERC777在Uniswap流动性合约中的重入漏洞，对ETH-imBTC池循环套利。此次的攻击手法是一个存在于Uniswapv1上的已知漏洞，该漏洞最早由Consensys于2019年4月发现，当时Consensys只是发现了该风险，还没有发现可以利用这种手法进行攻击的token。随后，在imBTC上线Uniswap后，由于imBTC是基于ERC777实现的，通过组合ERC777的特性及Uniswap代码上的问题，使攻击者可以通过重入漏洞实现套利。下面，我们将来分析此次套利中的攻击手法和具体的细节。知识准备

ERC777协议是以太坊上的代币标准协议，该协议是以太坊上ERC20协议的改进版，主要的改进点如下：1、使用和发送以太相同的理念发送token，方法为：send(dest,value,data)2、合约和普通地址都可以通过注册tokensToSendhook函数来控制和拒绝发送哪些token3、合约和普通地址都可以通过注册tokensReceivedhook函数来控制和拒绝接受哪些token4、tokensReceived可以通过hook函数可以做到在一个交易里完成发送代币和通知合约接受代币，而不像ERC20必须通过两次调用来完成5、持有者可以"授权"和"撤销"操作员这些操作员通常是交易所、支票处理机或自动支付系统6、每个代币交易都包含data和operatorData字段，可以分别传递来自持有者和操作员的数据7、可以通过部署实现tokensReceived的代理合约来兼容没有实现tokensReceived函数的地址在这里，我们需要特别关注的点是第二点，即ERC777标准中的tokenToSend函数，根据ERC777协议的定义，遵循该标准的token代币在每一次发生代币转账的时候都会去尝试调用代币发送者tokensToSend函数，而代币持有者可以通过在ERC1820注册合约注册自己的合约并通过在这个hook函数中定义一些操作来处理代币转账的过程中的某些流程，如拒绝代币发送或其他操作。了解这些关键点，有助于我们理解这次攻击的具体攻击手法。现在开始，我们可以稍微加速，看看对于Uniswap而言，这次到底发生了什么？细节分析

慢雾：CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus:7月26日消息，慢雾发推称，CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus Group。慢雾表示，TGGMvM开头地址收到了与Alphapo事件有关TJF7md开头地址转入的近1.2亿枚TRX，而TGGMvM开头地址在7月22日时还收到了通过TNMW5i开头和TJ6k7a开头地址转入的来自Coinspaid热钱包的资金。而TNMW5i开头地址则曾收到了来自Atomic攻击者使用地址的资金。[2023/7/26 16:00:16]

通过Etherscan查询攻击者的其中一笔交易0x32c83905db61047834f29385ff8ce8cb6f3d24f97e24e6101d8301619efee96e

可以发现，攻击者两度向Uniswap合约转帐imBTC，金额同样是0.00823084，然后从Uniswap收取了两笔ETH，看上去似乎是十分正常的两笔交易，实际上却是暗流涌动，另有玄机。为了更好的了解整一笔交易的细节，我们需要通过bloxy.info来查看交易的具体细节。

慢雾：Transit Swap事件中转移到Tornado Cash的资金超过600万美元:金色财经报道，慢雾 MistTrack 对 Transit Swap 事件资金转移进行跟进分析，以下将分析结论同步社区：

Hacker#1 攻击黑客（盗取最大资金黑客），获利金额：约 2410 万美元

1: 0x75F2...FFD46

2: 0xfa71...90fb

已归还超 1890 万美元的被盗资金；12,500 BNB 存款到 Tornado Cash；约 1400 万 MOONEY 代币和 67,709 DAI 代币转入 ShibaSwap: BONE Token 合约地址。

Hacker#2 套利机器人-1，获利金额：1,166,882.07 BUSD

0xcfb0...7ac7(BSC)

保留在获利地址中，未进一步转移。

Hacker#3 攻击模仿者-1，获利金额：356,690.71 USDT

0x87be...3c4c(BSC)

Hacker#4 套利机器人-2，获利金额：246,757.31 USDT

0x0000...4922(BSC)

已全部追回。

Hacker#5 套利机器人-3，获利金额：584,801.17 USDC

0xcc3d...ae7d(BSC)

USDC 全部转移至新地址 0x8960...8525，后无进一步转移。

Hacker#6 攻击模仿者-2，获利金额：2,348,967.9 USDT

0x6e60...c5ea(BSC)

Hacker#7 套利机器人-4，获利金额：5,974.52 UNI、1,667.36 MANA

0x6C6B...364e(ETH)

通过 Uniswap 兑换为 30.17 ETH，其中 0.71 支付给 Flashbots，剩余 ETH 未进一步转移。[2022/10/6 18:41:10]

慢雾：PREMINT攻击者共窃取约300枚NFT，总计获利约280枚ETH:7月18日消息，慢雾监测数据显示，攻击PREMINT的两个黑客地址一共窃取了大约300枚NFT，卖出后总计获利约280枚ETH。此前报道，黑客在PREMINT网站植入恶意JS文件实施钓鱼攻击，从而盗取用户的NFT等资产。[2022/7/18 2:19:58]

通过查询交易的细节，我们发现，攻击者首先是通过ethToTokenSwapInput函数向Uniswap兑换了一些imBTC，然后再通过tokenToEthSwapInput函数开始第一次用imBTC换取ETH，然后Uniswap先将ETH转给了攻击者，再调用imBTC的transferFrom函数，由于imBTC实现了ERC777标准，所以在调用imBTC的trasferFrom函数的时候，imBTC会对攻击者的tokensToSend函数进行调用。随后，在攻击者的tokensToSend函数中，攻击者会进行第二次用imBTC换取ETH，然后流程结束。从交易细节上看，这里似乎还是没有什么问题，我们继续跟踪UniSwap的代码。

慢雾：Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函数相关问题:据Multichain(AnySwap)早前消息，2022年01月18日，一个影响6个跨链Token的关键漏洞正在被利用。慢雾安全团队进行分析后表示，此次主要是由于anySwapOutUnderlyingWithPermit函数为检查用户传入的Token的合法性，且未考虑并非所有underlying代币都有实现permit函数，导致用户资产被未授权转出。慢雾安全团队建议：应对用户传入的参数是否符合预期进行检查，且在与其他合约进行对接时应考虑好兼容性问题。[2022/1/19 8:57:49]

上面是代码是Uniswap的ethToTokenSwapInput函数的代码，根据代码分析，Uniswap的ethToTokenSwapInput函数会调用ethToTokenInput函数，然后会先通过getInputPrice获取代币能换取的eth数量，之后通过send函数将eth发给用户，最后再通过transferFrom把代币转进合约。我们继续跟进getInputPrice函数。

慢雾：Cover协议被黑问题出在rewardWriteoff具体计算参数变化导致差值:2020年12月29日，慢雾安全团队对整个Cover协议被攻击流程进行了简要分析。

1.在Cover协议的Blacksmith合约中，用户可以通过deposit函数抵押BPT代币；

2.攻击者在第一次进行deposit-withdraw后将通过updatePool函数来更新池子，并使用accRewardsPerToken来记录累计奖励；

3.之后将通过_claimCoverRewards函数来分配奖励并使用rewardWriteoff参数进行记录；

4.在攻击者第一次withdraw后还留有一小部分的BPT进行抵押；

5.此时攻击者将第二次进行deposit，并通过claimRewards提取奖励；

6.问题出在rewardWriteoff的具体计算，在攻击者第二次进行deposit-claimRewards时取的Pool值定义为memory，此时memory中获取的Pool是攻击者第一次withdraw进行updatePool时更新的值；

7.由于memory中获取的Pool值是旧的，其对应记录的accRewardsPerToken也是旧的会赋值到miner；

8.之后再进行新的一次updatePool时，由于攻击者在第一次进行withdraw后池子中的lpTotal已经变小，所以最后获得的accRewardsPerToken将变大；

9.此时攻击者被赋值的accRewardsPerToken是旧的是一个较小值，在进行rewardWriteoff计算时获得的值也将偏小，但攻击者在进行claimRewards时用的却是池子更新后的accRewardsPerToken值；

10.因此在进行具体奖励计算时由于这个新旧参数之前差值，会导致计算出一个偏大的数值；

11.所以最后在根据计算结果给攻击者铸造奖励时就会额外铸造出更多的COVER代币，导致COVER代币增发。具体accRewardsPerToken参数差值变化如图所示。[2020/12/29 15:58:07]

通过分析getInputPrice函数，我们能知道，ETH获取量计算的公式为

把该公式放到ethToTokenInput函数的上下文中，该公式就变成了

在该公式下，一次正常的imBTC兑换ETH的过程中，作为分母的imBTC储备量在兑换过后应该要上升，对应的ETH储备量会变小。

但是回顾攻击者的操作方式，在攻击者第一次发送imBTC兑换ETH的过程中，Uniswap会先发送ETH给攻击者，这时候Uniswap中ETH储备量减少，然后Uniswap调用transferFrom函数，(注意此时还未将攻击者的imBTC扣除)，紧接着在transferFrom函数中攻击者调用的第二次的ethToTokenSwapInput时，通过getInputPrice获取兑换的ETH数量的公式会变成这样：

注意看，在第二次的兑换计算中，只有ETH的储备量变少了，而imBTC的储备量并未增加，这导致相比与单独的调用ethToTokenSwapInput函数，攻击者可以通过重入的方式，在第二次使用imBTC兑换ETH的过程中，使计算公式的分子发生了变化，而公式的分母不会发生变化。相比正常的兑换，攻击者通过重入方式进行的第二次兑换会获取微小的利润，导致有利可图。重复这样的过程，就能通过等量的imBTC获取更多的ETH，导致Uniswap做事商的损失。防御方法

在Uniswap的tokenToEthSwapInput函数中加入OpenZeppelin的ReentrancyGuard函数，防止重入问题。在进行代币交换的时候，先扣除用户的代币，再将ETH发送给用户。同时，针对本次攻击事件慢雾安全团队建议：在关键的业务操作方法中加入锁机制，如：OpenZeppelin的ReentrancyGuard开发合约的时候采用先更改本合约的变量，再进行外部调用的编写风格项目上线前请优秀的第三方安全团队进行全面的安全审计，尽可能的发现潜在的安全问题多个合约进行对接的时候也需要对多方合约进行代码安全和业务安全的把关，全面考虑各种业务场景相结合下的安全问题合约尽可能的设置暂停开关，在出现“黑天鹅”事件的时候能够及时发现并止损安全是动态的，各个项目方也需要及时捕获可能与自身项目相关的威胁情报，及时排查潜在的安全风险最后的思考

这两天的DeFi世界被闹得沸沸扬扬，imBTC作为ERC777代币首当其冲，ERC777协议也饱受诟病，但是看完分析，造成此次的攻击事件原因，真的是imBTC或者是ERC777协议的问题吗？如果Uniswap做好了ERC777的兼容，使用ReentrancyGuard，并在代币交换的时候先扣除用户的代币，再将ETH发送给用户，这样的问题是不是就不会发生？imBTC作为以太坊上token化的比特币代币协议，其安全性在自身单独运行的时候并不存在问题，第三方DeFi平台在接入的时候，应需要充分考虑平台本身的业务逻辑与接入代币之间的兼容性，才能避免因兼容性发生不必要的安全问题。而不是简单的将问题归咎于协议和代币提供方。

标签：TOKETHTOKEKENBanana TokenetherarkZooTokenFilecoin Standard Hashrate Token

PEPE热门资讯