Definer預言機攻擊事件分析-ODAILY_DEFI

前言

北京時間12月13日，知道創宇區塊鏈安全實驗室關注到針對Definer預言機的攻擊事件。

作為第三方區塊鏈安全機構，受Definer、Cherryswap和OEC組成的調查小組邀請參與本次攻擊事件的技術調查工作。實驗室第一時間啟動應急，跟蹤本次事件進行分析并出具調查報告。

分析

tx：

https://www.oklink.com/en/oec/tx/0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a?tab=4

DeFi協議總鎖倉量下跌至534億美元:金色財經報道，據DefiLlama數據顯示，DeFi協議總鎖倉量（TVL）達到534億美元，24小時跌幅0.02%。TVL排名前五分別為MakerDAO（77.2億美元）、Lido（58.8億美元）、Curve（58.4億美元）、AAVE（52.1億美元）、Uniswap（47.8億美元）。[2022/10/16 17:27:58]

攻擊者信息

攻擊tx：0x67134b2687945404b7697873a553a8318117dc56004ddaa02d2a6ac85e502e4a

攻擊合約：0x05806559f7f7732f2d3e71bca2eb12eab1938ceb

被攻擊池信息

NFT元宇宙平臺Dvision Network與NFT 社交平臺DeFine達成戰略合作:11月29日消息，NFT元宇宙平臺Dvision Network與NFT社交平臺DeFine達成戰略合作，所有在Dvision Marketplace上購買的NFT都可以在DeFine的平臺上進一步交易。Dvision NFT擴展到DeFine的生態系統使Dvision元宇宙相關的數字資產具有更廣泛可用性、可交易性和外展性。[2021/11/29 12:39:31]

USDT池：0xc1b02e52e9512519edf99671931772e452fb4399

OKB池：0xd63b340F6e9CCcF0c997c83C8d036fa53B113546

BTCK池：0x33a32f0ad4aa704e28c93ed8ffa61d50d51622a7

報告：鎖定在DeFi中的價值一年內增長936%:10月1日消息，在9月30日的“價值流報告”中，加密分析平臺DappRadar報告說，最近的趨勢是NFT和區塊鏈游戲出現了可觀的增長，但DeFi仍在產生可觀的價值。盡管價值在某種程度上從DeFi流向了NFT，但似乎這兩個類別都在獨立產生價值。盡管出現了BinanceSmartChain(BSC)、Solana和Avalanche等競爭對手網絡，但該研究深入研究了基于以太坊的DeFi，它仍然是該領域的主導力量。價值繼續流入，自2020年7月以來，以太坊上漲了400%，而穩定幣Tether和Dai同期分別上漲了1,300%和500%。DappRadar目前報告的總鎖定價值為1148億美元，比去年同期增長936%。該報告補充說，該行業的TVL在7月23日至9月5日期間增長了75%，在所有連鎖店達到1950億美元的峰值。（cointelegraph）[2021/10/1 17:19:45]

ETHK池：0x75dcd2536a5f414b8f90bb7f2f3c015a26dc8c79

DeFi協議PRIVI Protocol將集成Matic Network:12月8日，以太坊側鏈擴容方案Matic Network官方宣布，基于以太坊的DeFi協議PRIVI Protocol將集成其協議。[2020/12/8 14:36:59]

攻擊流程

合約方面調用流程

1、攻擊合約0x058065調用CherrySwap的FlashSwap功能進行閃電貸，貸出了CHE/OKB池子中幾乎全部的CHE。此時池子僅剩極少量CHE

2、抵押給Definer借款來的1000個CHE，Definer預言機計算價格依賴CherrySwap池中兩種代幣的余額比例，導致Definer預言機計算1000個CHE價格失準，1000個CHE的價值被認為極大值。

Set Protocol計劃推出DeFi領域的交易策略Set V2，支持多資產和流動性挖礦:去中心化資產管理協議Set Protocol宣布即將推出專注于DeFi領域的Set V2，該迭代版本注重為用戶、交易員、做市商和開發人員提供工具。對用戶來說，增加對DeFi代幣、穩定幣、合成資產等多資產支持。支持流動性挖礦，同時節約Gas費。[2020/8/5]

3、攻擊者借出USDT池子約462,318個USDT

4、攻擊者借出OKB池子約37,172個OKB

5、攻擊者借出BTCK池子約3個BTCK

6、攻擊者借出ETHK池子約8個ETHK

7、攻擊者通過CherrySwap的CHE/USDT池子利用10,000個USDT換出30,765個CHE

8、歸還CherrySwap閃電貸1,575,093個CHE

漏洞細節

根據Definer各合約部署地址(https://docs.definer.org/deployed-contracts/addresses)，由于預言機實現過程通過CherrySwap池子的兩個Token在池子的余額來判斷價格：

預言機實現過程中沒有考慮到閃電貸貸出時余額大量減少的情況，導致了Definer項目方預言機計算失準，從而導致了該事件。

以USDT池子為例:

從具體Transaction中我們跟進到SavingAccount合約的邏輯合約0xc1b02e52e9512519edf99671931772e452fb4399#priceFromAddress

在該函數中使用AggregatorInterface(tokenInfo.chainLinkOracle)的預言機來詢價

排查獲取AggregatorInterface中具體調用地址發現，其映射變量位于TokenRegistry合約：

而TokenRegistry的合約部署地址根據官方的deployed-contracts/addresses可知位于0x0E16Ada9C4Cf95d6722c65504555124A241DdA81

在該地址通過對CHE代幣地址0x8179d97eb6488860d816e3ecafe694a4153f216c查詢得到對應使用的預言機：

該地址即為存在漏洞的預言機地址：

總結

本次事件是由于Definer在OEC對于預言機的實現存在問題，使用了單一流動池在一個時間點的池內代幣余額作為價格源從而導致了事故的發生，而以太坊的實現則使用了ChainLink的預言機不存在該問題。

Tags：DEFIEFIDEFCHENRGY DefinSights DeFi Trader99DEFIsmartcontractschemecoin

Filecoin