XSURGE 攻擊事件的全面梳理 -ODAILY_AXS

前言

8月17日，BSC鏈上的XSURGE協議遭到閃電貸攻擊，損失超過500萬美元。對此，知道創宇區塊鏈安全實驗室對攻擊流程和代碼細節進行了全盤梳理。

全盤梳理

基礎信息

-攻擊tx：0x7e2a6ec08464e8e0118368cb933dc64ed9ce36445ecf9c49cacb970ea78531d2-攻擊合約：

0x1514AAA4dCF56c4Aa90da6a4ed19118E6800dc46

-SurgeToken：

0xE1E1Aa58983F6b8eE8E4eCD206ceA6578F036c21

澳交所全球AUXSTO創始人：澳交所全球AUXSTO布局香港加密市場:據官方消息，澳交所全球AUXSTO創始人TonyLu在出席2023年香港Web3Festival活動中提出，1，澳大利亞加密資產交易在行業監管上有很多的成功經驗，和香港本地市場未來具備更多的互補。2，香港下半年加密資產交易牌照發放，對整個加密資產行業具有積極和里程碑式的意義。3，加密資產交易對于推動整個數字經濟發展業有著積極作用。4，澳交所全球會積極參與申請香港加密交易牌照，并將香港作為輻射東南亞市場的長期戰略方針。[2023/4/13 14:00:53]

Axie Infinity將養殖費用由2AXS降為1AXS:9月23日消息，NFT游戲Axie Infinity將養殖費用由2AXS降為1AXS。養殖費用是玩家繁殖Axies以創造新寵物時收取的費用，是Axie經濟系統的核心，在此系統中玩家生產出新的Axies并消耗SLP。此前報道，8月11日Axie Infinity基于AXS和SLP相對價值的變化，將養殖費用由4AXS降為2AXS。[2021/9/23 17:00:21]

攻擊流程

這里有個小細節，代幣轉移流程中的順序是按照事件先后順序來顯示的，而重入之后的買操作引起的事件會在賣操作引起的事件之前，所以在流程中看到的每一個單獨的重入攻擊中是SURGE的買入發生在賣出之前。

Lido關于向Obol和BloxStaking各投入10萬美元LDO代幣用于SSV研究的投票已通過:8月31日消息，以太坊 2.0 質押協議 Lido 關于向以太坊秘密共享驗證器網絡 Obol 和非托管開源 Eth2 質押網站 Blox Staking 各投入 10 萬美元的 LDO 代幣用于 SSV 的研究的投票已通過。Lido 表示 SSV 是 Lido 未來用于 ETH 2.0 Staking 的潛在技術，SSV 仍在開發中，Blox Staking 和 Obol 都是積極致力于研究 SSV 的團隊，Lido 希望通過撥款支持兩個團隊的努力。SSV 能夠以一種安全的方式在不信任的節點或運營商之間拆分驗證器密鑰，同時保持以太坊驗證器的分布式控制和活動。從本質上講，SSV 是一種通過使單個 SSV 節點成為一個強大的網絡來分散風險和減少故障的方法，該網絡可以在安全性、穩健性和正常運行時間方面優于任何單個 Staking 服務。[2021/8/31 22:49:00]

漏洞原理

貝爾鏈發起Maxswap主導權競選的投票:10月25日，貝爾鏈官方宣布，將于10月26日10：00-11月2日10：00（UTC+8）發起Maxswap主導權競選的投票。貝爾鏈表示，北美超級節點Baer LA自主開發了一個全新的去中心化交易平臺Maxswap，將用于貝爾鏈的未來生態發展，貝爾鏈將邀請全球生態用戶，通過投票競選共，同決定Maxswap生態建設的主導權。據北美區塊鏈媒體分析，此舉是貝爾鏈創始團隊與以超級節點Baer LA為代表的部分節點，就貝爾鏈未來生態布局規劃，未達成一致意見的結果，同時可能本次投票也是貝爾鏈創始團隊無力的表現。[2020/10/26]

漏洞點在于SurgeToken合約中的sell()函數，其中對調用者msg.sender的BNB轉賬采用的call()函數，并且在轉賬之后才更新代幣總量_totalSupply，是典型的重入漏洞場景。

雖然\nsell()函數使用了nonReentrant修飾防止了重入，但purchase()函數并沒有。重入轉回BNB給合約，觸發\nfallback函數調用purchase()，由于_totalSupply尚未減去賣出量，而導致可買入相較正常更多的SURGE代幣。

復現

價格分析

sell()函數賣出過程中，輸入tokenAmount與輸出amountBNB的關系：

purchase()函數買入過程中，輸入bnbAmount與輸出tokensToSend的關系：

在重入過程中，sell()函數賣出后獲得的BNB通過重入打回SurgeToken合約傳入purchase()函數故令sell()函數的輸出amountBNB與purchase()函數的輸入bnbAmount相等，可得到整個利用流程中輸入與輸出的關系：

若要實現套利，需要輸出大于輸入，則有：

最后得到：

也就是說重入套利過程中調用sell()賣出的代幣量必須在代幣總量的12.383%以上

模擬演示

為方便調試，將SurgeToken合約中的mint()函數可見性改為public，并為構造函數增加payable修飾，在部署時傳入10^15wei。

SurgeToken合約初始化的代幣總量為10^9，根據前面推導出的結論，為攻擊合約鑄幣200000000，則攻擊合約擁有大約SURGE代幣總量16%的代幣。

攻擊合約調用Attack()函數攻擊，查看攻擊合約的代幣余額已變為209549307，獲利9549307。

總結

XSURGE協議被攻擊的本質原因在于sell()函數中存在重入漏洞，導致可通過purchase函數買入較多的SURGE代幣而獲利。

簡而言之，典型的重入漏洞場景，教科書級的案例。

Tags：AXSSURGESURURGBAXS幣Surge Inuinsur幣最新消息burger幣創始人

以太坊