慢霧：XCarnival NFT借貸協議漏洞分析_NFT

原文作者：九九，慢霧安全團隊

2022年6月27日，據慢霧區消息，XCarnival項目被曝出嚴重漏洞遭黑客攻擊并盜走3,087個ETH。XCarnival是一個ETH鏈上的NFT借貸項目，目前項目團隊正在修復漏洞并承諾會對受影響的用戶提供解決方案。慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

核心合約地址

P2Controller：

0x34ca24ddcdaf00105a3bf10ba5aae67953178b85

XNFT：

0x39360AC1239a0b98Cb8076d4135d0F72B7fd9909

xToken：

0x5417da20aC8157Dd5c07230Cfc2b226fDCFc5663

以太坊日內漲幅達5.00%:金色財經報道，行情顯示，以太坊日內漲幅達5.00%，現報1967美元/枚。[2023/7/14 10:53:49]

攻擊者EOA地址

0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a

攻擊合約地址

0xf70F691D30ce23786cfb3a1522CFD76D159AcA8d

0x234e4B5FeC50646D1D4868331F29368fa9286238

0x7B5A2F7cd1cc4eEf1a75d473e1210509C55265d8

0xc45876C90530cF0EE936c93FDc8991534F8A6962

漏洞核心點分析

Coinbase首席法務官：SEC有7天的時間做出回應:金色財經報道，Coinbase首席法務官paulgrewal.eth發推表示，第三巡回法院對今天 Coinbase 的強制執行令發布了短期命令。法院注意到 SEC 今天早上提起的訴訟，并詢問 SEC 這是否意味著已決定拒絕Coinbase未決定的規則制定申請。 SEC 還有7天的時間做出回應。[2023/6/8 21:23:18]

1.攻擊者通過XNFT合約中的pledgeAndBorrow函數來進行抵押NFT并借出xToken。

在pledgeInternal函數中轉入NFT并生成訂單：

彭博社：Gary Wang對于SBF來說是比Caroline Ellison更危險的證人:12月26日消息，彭博社近日刊文分析稱，與Alameda Research前首席執行官Caroline Ellison相比，FTX聯合創始人Gary Wang對FTX的重要性要大得多，這使他成為SBF更危險的證人。此前SBF將FTX的倒閉歸咎于Caroline Ellison，但這一辯護被Gary Wang的認罪協議削弱了。紐約前聯邦檢察官Sarah Paul表示：“我預計SBF將更難聲稱他不知道Gary Wang的所作所為。讓這兩名合作證人在審判中指證他，這將是非常有力的。”

Gary Wang和SBF的關系非常密切。Gary Wang和SBF第一次見面是在高中的數學夏令營，他們在麻省理工學院是室友。他們在加州伯克利合租一所房子時開始開發FTX，Gary Wang為于2019年推出的交易所編寫代碼。兩人一起生活在香港，最近在巴哈馬群島。SBF擁有Alameda公司90%的股份，而Gary Wang只擁有10%的股份。Gary Wang一直擔任Alameda的首席執行官，直到去年年底任命Caroline Ellison為首席執行官。

根據CFTC的指控，Gary Wang幫助創建了基礎代碼，使Alameda能夠在FTX “保持無限的信用額度”，Wang還幫助創建了其他途徑，使Alameda在平臺上進行交易時具有不公平的優勢，包括更快的執行時間。法律專家表示，轉移到Alameda的錢很難解釋為管理不善，而不是欺詐，他前同事的證詞可能對SBF造成毀滅性打擊。在其他案件中，面對這樣的證人，被告試圖扭轉局面，把合作者描繪成真正的壞人，現在撒謊是為了保全自己。

此前12月22日消息，Alameda前CEO和FTX聯創已分別對美檢察官提出的刑事指控和美CFTC提出的欺詐指控認罪；美SEC指控Caroline Ellison和Gary Wang欺詐FTX投資者，兩人已經同意兩項和解協議。[2022/12/26 22:07:56]

2.接著調用withdrawNFT函數提取出質押的NFT，其中首先判斷該訂單是否被清算狀態，如果不是則判斷該訂單的狀態是否為NFT還未被提取且借款金額為0，如果通過即可提取抵押的NFT。

廣發證券：中國數字藏品行業有望走向規范化、差異化:6月22日消息，廣發證券研報指出，中國數字藏品行業有望走向規范化、差異化。由于國內數字藏品的發行及流轉都有限制條件，數字藏品的版權所有者與發行流轉平臺存在角色分離。在數字藏品的生產端，核心競爭力是IP資源和營銷能力；在數字藏品的流通端，核心競爭力是交易規模和版權服務能力。預期未來，我國將形成數字藏品市場的規范性流通環境，持續開發創新性數字藏品放大文化數字內容的營銷價值和版權價值，打開我國數字藏品行業發展的廣闊藍圖。（財聯社）[2022/6/22 4:44:26]

3.以上為攻擊前生成訂單的準備操作，接著攻擊者開始利用生成的訂單直接調用xToken合約中的borrow函數進行借款。

在borrowInternal函數中，會外部調用controller合約中的borrowAllowed函數來判斷是否可以借款。

可以看到在borrowAllowed函數會調用orderAllowed函數進行訂單相關信息的判斷，但是在這兩個函數中均沒有進行_order.isWithdraw狀態的判斷。因此攻擊者可以利用之前生成的訂單來調用XToken的borrow函數來借款，而因為抵押的NFT在之前已經被提出，故攻擊者可以不用還款來實現獲利。

攻擊交易分析

此處僅展示其中一筆攻擊交易的細節，其余攻擊交易的手法均一致，不再贅述。

攻擊前準備——生成訂單的交易：

0x61a6a8936afab47a3f2750e1ea40ac63430a01dd4f53a933e1c25e737dd32b2f

1.首先攻擊者將NFT轉入攻擊合約并進行授權，接著調用xNFT合約中的pledgeAndBorrow函數在進行抵押NFT生成訂單并借款的操作，此處需要注意一點是該函數可以控制傳入的xToken，攻擊者傳入了自己構造的xToken合約地址，并且讓借款數量為0，目的是為了滿足后續能成功提出NFT時的不被清算且負債為0的條件。

2.攻擊者緊接著調用withdrawNFT函數來進行提取抵押的NFT：

正式攻擊交易：

0x51cbfd46f21afb44da4fa971f220bd28a14530e1d5da5009cfbdfee012e57e35

攻擊者調用xToken合約的borrow函數，傳入之前生成的訂單的orderID，重復了該操作22次，而因為NFT在準備階段已經提走，估計無需還款以此來獲利。

總結

本次漏洞的核心在于借款的時候，沒有進行訂單中NFT是否被提走的狀態的判斷，導致攻擊者可以在把NFT提走之后再利用之前生成的訂單來借款而無需還款，以此來獲利。針對此類漏洞，慢霧安全團隊建議在進行借款操作時應做好訂單狀態中是否已經提走抵押品的判斷，避免再次出現此類問題。

來源：金色財經

Tags：NFTWANARYGARPunk Vault (NFTX)wANATHA價格SCARYgari幣價格

中幣