ETH:慢雾：详解 Uniswap 的 ERC777 重入风险_TOKE

前言

4 月 18 日，Tokenlon 宣布暂停 imBTC 转账，因其发现有攻击者通过 ERC777 在 Uniswap 流动性合约中的重入漏洞，对 ETH-imBTC 池循环套利。此次的攻击手法是一个存在于 Uniswap v1 上的已知漏洞，该漏洞最早由 Consensys 于 2019 年 4 月发现，当时 Consensys 只是发现了该风险，还没有发现可以利用这种手法进行攻击的 token。随后，在 imBTC 上线 Uniswap 后，由于 imBTC 是基于 ERC777 实现的，通过组合 ERC777 的特性及 Uniswap 代码上的问题，使攻击者可以通过重入漏洞实现套利。下面，我们将来分析此次套利中的攻击手法和具体的细节。

知识准备

ERC777 协议是以太坊上的代币标准协议，该协议是以太坊上 ERC20 协议的改进版，主要的改进点如下：

1. 使用和发送以太相同的理念发送 token，方法为：send(dest, value, data)

2. 合约和普通地址都可以通过注册 tokensToSend hook 函数来控制和拒绝发送哪些token（拒绝发送通过在hook函数tokensToSend 里 revert 来实现）

慢雾：警惕Web3钱包WalletConnect钓鱼风险:金色财经报道，慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser + WalletConnect 的场景下。

慢雾发现，部分 Web3 钱包在提供 WalletConnect 支持的时候，没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制，因此会在钱包的任意界面弹出签名请求。[2023/4/17 14:08:53]

3. 合约和普通地址都可以通过注册 tokensReceived hook 函数来控制和拒绝接受哪些token（拒绝接受通过在hook函数tokensReceived 里 revert 来实现）

4. tokensReceived 可以通过 hook 函数可以做到在一个交易里完成发送代币和通知合约接受代币，而不像 ERC20 必须通过两次调用（approve/transferFrom）来完成

5. 持有者可以"授权"和"撤销"操作员（operators: 可以代表持有者发送代币） 这些操作员通常是（去中心化）交易所、支票处理机或自动支付系统

慢雾：PREMINT攻击者共窃取约300枚NFT，总计获利约280枚ETH:7月18日消息，慢雾监测数据显示，攻击PREMINT的两个黑客地址一共窃取了大约300枚NFT，卖出后总计获利约280枚ETH。此前报道，黑客在PREMINT网站植入恶意JS文件实施钓鱼攻击，从而盗取用户的NFT等资产。[2022/7/18 2:19:58]

6. 每个代币交易都包含 data 和 operatorData 字段， 可以分别传递来自持有者和操作员的数据

7. 可以通过部署实现 tokensReceived 的代理合约来兼容没有实现tokensReceived 函数的地址

在这里，我们需要特别关注的点是第二点，即 ERC777 标准中的 tokenToSend 函数，根据 ERC777 协议的定义，遵循该标准的 token 代币在每一次发生代币转账的时候都会去尝试调用代币发送者 tokensToSend 函数，而代币持有者可以通过在 ERC1820 注册合约注册自己的合约并通过在这个 hook 函数中定义一些操作来处理代币转账的过程中的某些流程，如拒绝代币发送或其他操作。

了解这些关键点，有助于我们理解这次攻击的具体攻击手法。现在开始，我们可以稍微加速，看看对于 Uniswap 而言，这次到底发生了什么？

慢雾：DEUS Finance 二次被黑简析:据慢雾区情报，DEUS Finance DAO在4月28日遭受闪电贷攻击，慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。

3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作，兑换出了9547716.9个的DEI，由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。

4.在进行Swap操作后，攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷，由于borrow函数中用isSolvent进行借贷检查，而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。

5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC，获利离场。

针对该事件，慢雾安全团队给出以下防范建议：本次攻击的原因主要在于使用了不安全的预言机来计算LP价格，慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]

细节分析

慢雾：DOD合约中的BUSD代币被非预期取出，主要是DOD低价情况下与合约锁定的BUSD将产生套利空间:据慢雾区情报，2022 年 3 月 10 日, BSC 链上的 DOD 项目中锁定的 BUSD 代币被非预期的取出。慢雾安全团队进行分析原因如下：

1. DOD 项目使用了一种特定的锁仓机制，当 DOD 合约中 BUSD 数量大于 99,999,000 或 DOD 销毁数量超过 99,999,000,000,000 或 DOD 总供应量低于 1,000,000,000 时将触发 DOD 合约解锁，若不满足以上条件，DOD 合约也将在五年后自动解锁。DOD 合约解锁后的情况下，用户向 DOD 合约中转入指定数量的 DOD 代币后将获取该数量 1/10 的 BUSD 代币，即转入的 DOD 代币数量越多获得的 BUSD 也越多。

2. 但由于 DOD 代币价格较低，恶意用户使用了 2.8 个 BNB 即兑换出 99,990,000 个 DOD。

3. 随后从各个池子中闪电贷借出大量的 BUSD 转入 DOD 合约中，以满足合约中 BUSD 数量大于 99,999,000 的解锁条件。

4. 之后只需要调用 DOD 合约中的 swap 函数，将持有的 DOD 代币转入 DOD 合约中，既可取出 1/10 转入数量的 BUSD 代币。

5. 因此 DOD 合约中的 BUSD 代币被非预期的取出。

本次 DOD 合约中的 BUSD 代币被非预期取出的主要原因在于项目方并未考虑到 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。[2022/3/10 13:48:45]

通过 Etherscan 查询攻击者的其中一笔交易 0x32c83905db61047834f29385ff8ce8cb6f3d24f97e24e6101d8301619efee96e

慢雾：nanotron安全审计报告是伪造的:慢雾科技发推表示：团队并没有对于nanotron进行审计，项目的安全审计报告是伪造的，请注意防范风险。[2020/10/8]

可以发现，攻击者两度向 Uniswap 合约转帐 imBTC，金额同样是 0.00823084，然后从 Uniswap 收取了两笔 ETH，看上去似乎是十分正常的两笔交易，实际上却是暗流涌动，另有玄机。为了更好的了解整一笔交易的细节，我们需要通过 bloxy.info 来查看交易的具体细节。

通过查询交易的细节，我们发现，攻击者首先是通过 ethToTokenSwapInput 函数向 Uniswap 兑换了一些 imBTC，然后再通过 tokenToEthSwapInput 函数开始第一次用 imBTC 换取 ETH，然后 Uniswap 先将 ETH 转给了攻击者，再调用 imBTC 的 transferFrom 函数，由于 imBTC 实现了 ERC777 标准，所以在调用 imBTC 的 trasferFrom 函数的时候， imBTC 会对攻击者的 tokensToSend 函数进行调用。随后，在攻击者的 tokensToSend 函数中，攻击者会进行第二次用 imBTC 换取 ETH，然后流程结束。

从交易细节上看，这里似乎还是没有什么问题，我们继续跟踪 UniSwap 的代码。

上面是代码是 Uniswap 的 ethToTokenSwapInput 函数的代码，根据代码分析， Uniswap 的 ethToTokenSwapInput 函数会调用 ethToTokenInput 函数，然后会先通过 getInputPrice 获取代币能换取的 eth 数量，之后通过 send 函数将 eth 发给用户，最后再通过 transferFrom 把代币转进合约。我们继续跟进 getInputPrice 函数。

通过分析 getInputPrice 函数，我们能知道，ETH 获取量计算的公式为

把该公式放到 ethToTokenInput 函数的上下文中，该公式就变成了

在该公式下，一次正常的 imBTC 兑换 ETH 的过程中，作为分母的 imBTC 储备量在兑换过后应该要上升，对应的 ETH 储备量会变小。

但是回顾攻击者的操作方式，在攻击者第一次发送 imBTC 兑换 ETH 的过程中，Uniswap 会先发送 ETH 给攻击者，这时候 Uniswap 中 ETH 储备量减少，然后 Uniswap 调用 transferFrom 函数，(注意此时还未将攻击者的 imBTC 扣除)， 紧接着在 transferFrom 函数中攻击者调用的第二次的 ethToTokenSwapInput 时，通过 getInputPrice 获取兑换的 ETH 数量的公式会变成这样：

注意看，在第二次的兑换计算中，只有 ETH 的储备量变少了，而 imBTC 的储备量并未增加，这导致相比与单独的调用 ethToTokenSwapInput 函数，攻击者可以通过重入的方式，在第二次使用 imBTC 兑换 ETH 的过程中，使计算公式的分子发生了变化，而公式的分母不会发生变化。相比正常的兑换，攻击者通过重入方式进行的第二次兑换会获取微小的利润，导致有利可图。重复这样的过程，就能通过等量的 imBTC 获取更多的 ETH，导致 Uniswap 做事商的损失。

防御方法

1. 在 Uniswap 的 tokenToEthSwapInput 函数中加入 OpenZeppelin 的 ReentrancyGuard 函数，防止重入问题。

2. 在进行代币交换的时候，先扣除用户的代币，再将 ETH 发送给用户。

同时，针对本次攻击事件慢雾安全团队建议：

1. 在关键的业务操作方法中加入锁机制，如：OpenZeppelin 的 ReentrancyGuard

2. 开发合约的时候采用先更改本合约的变量，再进行外部调用的编写风格

3. 项目上线前请优秀的第三方安全团队进行全面的安全审计，尽可能的发现潜在的安全问题

4. 多个合约进行对接的时候也需要对多方合约进行代码安全和业务安全的把关，全面考虑各种业务场景相结合下的安全问题

5. 合约尽可能的设置暂停开关，在出现“黑天鹅”事件的时候能够及时发现并止损

6. 安全是动态的，各个项目方也需要及时捕获可能与自身项目相关的威胁情报，及时排查潜在的安全风险

最后的思考

这两天的 DeFi 世界被闹得沸沸扬扬，imBTC 作为 ERC777 代币首当其冲，ERC777 协议也饱受诟病，但是看完分析，造成此次的攻击事件原因，真的是 imBTC 或者是 ERC777 协议的问题吗？

如果 Uniswap 做好了 ERC777 的兼容，使用 ReentrancyGuard，并在代币交换的时候先扣除用户的代币，再将 ETH 发送给用户，这样的问题是不是就不会发生？

imBTC 作为 以太坊上 token 化的比特币代币协议，其安全性在自身单独运行的时候并不存在问题，第三方 DeFi 平台在接入的时候，应需要充分考虑平台本身的业务逻辑与接入代币之间的兼容性，才能避免因兼容性发生不必要的安全问题。而不是简单的将问题归咎于协议和代币提供方。

标签：ETHSWAPTOKENTOKEethylenepropyleneESWAPV2价格Simba TokenXDEFI Governance Token

BNB热门资讯