Definer 預言機攻擊事件分析_DEF

前言

北京時間12月13日，知道創宇區塊鏈安全實驗室?關注到針對Definer預言機的攻擊事件。

作為第三方區塊鏈安全機構，受Definer、Cherryswap和OEC組成的調查小組邀請參與本次攻擊事件的技術調查工作。實驗室第一時間啟動應急，跟蹤本次事件進行分析并出具調查報告。

分析

tx：https://www.oklink.com/en/oec/tx/0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a?tab=4

花旗：債務交易推進后比特幣面臨新挑戰:金色財經報道，花旗在一份報告中分析了風險資產在回撤期間的表現，發現它們容易受到更高波動性和更弱回報的影響。因此，對于比特幣和以太坊來說，近期前景似乎并不太樂觀。

花旗策略師表示，加密貨幣市場并不能幸免于對美國債務違約的擔憂、負面事態發展引發的拋售以及表明取得進展的頭條新聞引發的反彈。在與傳統金融機構有關的問題中，加密貨幣通常表現良好，3月份的銀行業動蕩就能夠反應，當時比特幣表現出色，但也許美國政府違約等機構的風險并沒有為去中心化數字資產描繪出有利的前景。[2023/6/4 21:15:02]

攻擊者信息

攻擊tx：0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a

Mastercard推出NFT門控音樂藝術家加速器計劃:4月13日消息，Mastercard宣布了其新的藝術家加速器（Mastercard Artist Accelerator）計劃，本次加速器計劃增加了 Web3 的變化，即只有持有 NFT 會員通行證才能訪問該計劃。限量版 Mastercard Music Pass NFT 是解鎖 Mastercard Artist Accelerator 計劃的關鍵，這是一個 Web3 平臺，可以免費訪問教育材料，通過其合作提供獨特的人工智能工具，以及提升音樂藝術家創造力的無價體驗。免費的限量版 Mastercard Music Pass NFT 將在月底前向音樂和 Web3 粉絲開放。該計劃是通過與區塊鏈開發商 Polygon 共同創建，萬事達卡尋求利用 Web3 技術來教育并讓更多人參與音樂領域正在發生的數字化轉型。[2023/4/13 14:02:02]

攻擊合約：0x05806559f7f7732f2d3e71bca2eb12eab1938ceb

Art Blocks 推出新產品 Art Blocks Engine 和 Art Blocks Engine Flex:金色財經消息，NFT 項目 Art Blocks 推出兩個新產品 Art Blocks Engine 和 Art Blocks Engine Flex，其中 Art Blocks Engine 可用于生成資產的鏈上存儲，Art Blocks Engine Flex 可使用 IPFS 等分布式存儲協議在鏈下創建和存儲生成項目，允許其它第三方或合作伙伴可以使用 Art Block 的智能合約和產品設施來創建無限量的品牌衍生項目。[2022/8/30 12:56:30]

被攻擊池信息

Immutable Games Studio已解雇多名區塊鏈游戲設計師:金色財經報道，據高級游戲設計師詹姆斯韋克漢姆（James Wakeham）在社交媒體披露，Immutable Games Studio 已經解雇了包括他在內的多名員工。Immutable Games Studio是以太坊二層解決方案Immutable X背后的公司，推出過多個區塊鏈游戲，包括NFT卡牌游戲Gods Unchained、以及和即將推出的移動動作角色扮演游戲Guild of Guardians，此前以25億美元估值完成了2億美元融資。[2022/7/27 2:40:05]

USDT池：0xc1b02e52e9512519edf99671931772e452fb4399

OKB池：0xd63b340F6e9CCcF0c997c83C8d036fa53B113546

BTCK池：0x33a32f0ad4aa704e28c93ed8ffa61d50d51622a7

ETHK池：0x75dcd2536a5f414b8f90bb7f2f3c015a26dc8c79

攻擊流程

合約方面調用流程

1、攻擊合約0x058065調用CherrySwap的FlashSwap功能進行閃電貸，貸出了CHE/OKB池子中幾乎全部的CHE。此時池子僅剩極少量CHE

2、抵押給Definer借款來的1000個CHE，Definer預言機計算價格依賴CherrySwap池中兩種代幣的余額比例，導致Definer預言機計算1000個CHE價格失準，1000個CHE的價值被認為極大值。

3、攻擊者借出USDT池子約462,318個USDT

4、攻擊者借出OKB池子約37,172個OKB

5、攻擊者借出BTCK池子約3個BTCK

6、攻擊者借出ETHK池子約8個ETHK

7、攻擊者通過CherrySwap的CHE/USDT池子利用10,000個USDT換出30,765個CHE

8、歸還CherrySwap閃電貸1,575,093個CHE

漏洞細節

根據Definer各合約部署地址(https://docs.definer.org/deployed-contracts/addresses)，由于預言機實現過程通過CherrySwap池子的兩個Token在池子的余額來判斷價格：

預言機實現過程中沒有考慮到閃電貸貸出時余額大量減少的情況，導致了Definer項目方預言機計算失準，從而導致了該事件。

以USDT池子為例:

從具體Transaction中我們跟進到SavingAccount合約的邏輯合約0xc1b02e52e9512519edf99671931772e452fb4399#priceFromAddress

在該函數中使用AggregatorInterface(tokenInfo.chainLinkOracle)的預言機來詢價

排查獲取AggregatorInterface中具體調用地址發現，其映射變量位于TokenRegistry合約：

而TokenRegistry的合約部署地址根據官方的deployed-contracts/addresses可知位于0x0E16Ada9C4Cf95d6722c65504555124A241DdA81?

在該地址通過對CHE代幣地址0x8179d97eb6488860d816e3ecafe694a4153f216c查詢得到對應使用的預言機：

該地址即為存在漏洞的預言機地址：

總結

本次事件是由于Definer在OEC對于預言機的實現存在問題，使用了單一流動池在一個時間點的池內代幣余額作為價格源從而導致了事故的發生，而以太坊的實現則使用了ChainLink的預言機不存在該問題。

來源：金色財經

Tags：INECHEARTDEFminetworksmartcontractschemecoinBART價格Clever DeFi

瑞波幣