假幣的換臉戲法：技術拆解 THORChain 跨鏈系統“假充值”漏洞_ETHE

Author：

Time：1900/1/1 0:00:00

據慢霧區消息，2021 年 6 月 29 日，去中心化跨鏈交易協議 THORChain 發推稱發現一個針對 THORChain 的惡意攻擊，THORChain 節點已作出反應并進行隔離和防御。慢霧安全團隊第一時間介入分析，經分析發現，這是一起針對跨鏈系統的“假充值”攻擊，結果分享如下：

什么是“假充值”？

當我們在談論“假充值”攻擊時，我們通常談的是攻擊者利用公鏈的某些特性，繞過交易所的充值入賬程序，進行虛假充值，并真實入賬。

隨著 RenVM、THORChain 等跨鏈服務的興起，跨鏈節點充當起了交易所的角色，通過掃描另一條公鏈的資產轉移情況，在本地公鏈上生成資產映射。THORChain 正是通過這種機制，將以太坊上的代幣轉移到其它公鏈。

JustSwap白名單上SSK假幣已移除流動性池:數據顯示，此前披露的SSK假幣（地址：TYbtUJpoAos99Kt3ih81s6P8TZ1ATTv6Cj）已經移除流動性池。[2020/9/23]

漏洞分析

我們從業務邏輯入口去追蹤分析此漏洞的成因。

首先看到在處理跨鏈充值事件時，調用了 getAssetFromTokenAddress 方法去獲取代幣信息，并傳入了資產合約地址作為參數：

- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go?

波卡生態項目Acala：此前ACA假幣騙局是網站Bug目前已被修正:9月23日，波卡生態項目Acala官方再次發推，對此前Uniswap上的ACA假幣騙局作出聲明。官方表示，現已被告知ACA假幣是網站網站Bug，目前已被修正。官方再次提醒稱，用戶需保持警惕。此前9月7日及15日，Acala官方兩次發推提醒稱，官方還沒有發行ACA代幣，用戶需警惕Uniswap上的ACA假幣。[2020/9/23]

在 getAssetFromTokenAddress 方法里，我們看到它調用了 getTokenMeta 去獲取代幣元數據，此時也傳入了資產合約地址作為參數，但在此處有一個定義引起我們的警覺，在初始化代幣時，默認賦予了代幣符號為 ETH，這就是漏洞的關鍵點之一：asset := common.ETHAsset，如果傳入合約地址對應的代幣符號為 ETH，那么此處關于 symbol 的驗證將被繞過。

孫宇晨就Justswap上線致幣圈的公開信：關于解決假幣問題:據最新消息顯示，波場TRON創始人兼BitTorrent CEO孫宇晨發布了Justswap上線致幣圈的公開信，孫宇晨表示：“解決假幣問題。Justswap團隊將重拳出擊整改假幣問題，我們將會把下拉列表欄的代幣全部審查一遍，確保列表中的代幣為真幣，與此同時，官方開啟假幣審核，推出假幣舉報通道（report@justswap.org），一經審核發現為假幣的，將做下架處理。”[2020/8/19]

- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

動態 | 賬號創建10億個EOS假幣，項目方應提高警惕:Beosin成都鏈安態勢感知安全預警：今日下午14:20:11?根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，賬戶larry5555555 發布了10億 EOS假幣并分發到了數個小號（pandoras1111，pandoras.e等），鷹眼將持續追蹤這些假幣的流向，請各項目方持續關注事件走勢，做好及時應急措施預警準備和自查，檢查自己的合約是否正確判斷接收代幣的發行方，必要時可以找區塊鏈安全公司進行代碼審計，并可加入成都鏈安鷹眼態勢感知系統，我們將第一時間為大家免費提供預警報警服務，避免用戶資產受損。[2019/6/21]

繼續驗證我們的猜測，我們看到當代幣地址在系統中不存在時，會從以太坊主鏈上去獲取合約信息，并以獲取到的 symbol 構建出新的代幣，此時所有的漏洞成因都已經顯現：

- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go