慢霧：XCarnival NFT借貸協議漏洞分析_NFT

原文作者：九九，慢霧安全團隊

2022年6月27日，據慢霧區消息，XCarnival項目被曝出嚴重漏洞遭黑客攻擊并盜走3,087個ETH。XCarnival是一個ETH鏈上的NFT借貸項目，目前項目團隊正在修復漏洞并承諾會對受影響的用戶提供解決方案。慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

核心合約地址

P2Controller：

0x34ca24ddcdaf00105a3bf10ba5aae67953178b85

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

XNFT：

慢霧：警惕ETH新型假充值，已發現在野ETH假充值攻擊:經慢霧安全團隊監測，已發現存在ETH假充值對交易所攻擊的在野利用，慢霧安全團隊決定公開修復方案，請交易所或錢包及時排查ETH入賬邏輯，必要時聯系慢霧安全團隊進行檢測，防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作：1、針對合約ETH充值時，需要判斷內聯交易中是否有revert的交易，如果存在revert的交易，則拒絕入賬。2、采用人工入賬的方式處理合約入賬，確認充值地址到賬后才進行人工入賬。同時需要注意，類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]

0x39360AC1239a0b98Cb8076d4135d0F72B7fd9909

動態 | 慢霧：Cryptopia被盜資金發生轉移:據慢霧科技反洗錢(AML)系統監測顯示，Cryptopia攻擊者分兩次轉移共20,843枚ETH，價值超380萬美元。目前資金仍停留在 0x90d78A49 和 0x6D693560 開頭的兩個新地址，未向交易所轉移。據悉，今年早些時候加密貨幣交易所Cryptopia遭受了黑客攻擊，價值超過1600萬美元的以太坊和ERC-20代幣被盜。[2019/11/17]

xToken：

0x5417da20aC8157Dd5c07230Cfc2b226fDCFc5663

聲音 | 慢霧：ETC 51%雙花攻擊所得的所有ETC已歸還完畢:據慢霧區消息，ETC 51%攻擊后續：繼Gate.io宣稱攻擊者歸還了價值10萬美金的ETC后，另一家被成功攻擊的交易所Yobit近日也宣稱收到了攻擊者歸還的122735 枚 ETC。根據慢霧威脅情報系統的深度關聯分析發現：攻擊者于UTC時間2019年1月10日11點多完成了攻擊所獲的所有ETC的歸還工作，至此，持續近一周的 ETC 51% 陰云已散。[2019/1/16]

攻擊者EOA地址

0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a

攻擊合約地址

0xf70F691D30ce23786cfb3a1522CFD76D159AcA8d

0x234e4B5FeC50646D1D4868331F29368fa9286238

0x7B5A2F7cd1cc4eEf1a75d473e1210509C55265d8

0xc45876C90530cF0EE936c93FDc8991534F8A6962

在pledgeInternal函數中轉入NFT并生成訂單：

2.接著調用withdrawNFT函數提取出質押的NFT，其中首先判斷該訂單是否被清算狀態，如果不是則判斷該訂單的狀態是否為NFT還未被提取且借款金額為0，如果通過即可提取抵押的NFT。

3.以上為攻擊前生成訂單的準備操作，接著攻擊者開始利用生成的訂單直接調用xToken合約中的borrow函數進行借款。

在borrowInternal函數中，會外部調用controller合約中的borrowAllowed函數來判斷是否可以借款。

可以看到在borrowAllowed函數會調用orderAllowed函數進行訂單相關信息的判斷，但是在這兩個函數中均沒有進行_order.isWithdraw狀態的判斷。因此攻擊者可以利用之前生成的訂單來調用XToken的borrow函數來借款，而因為抵押的NFT在之前已經被提出，故攻擊者可以不用還款來實現獲利。

攻擊交易分析

此處僅展示其中一筆攻擊交易的細節，其余攻擊交易的手法均一致，不再贅述。

攻擊前準備——生成訂單的交易：

0x61a6a8936afab47a3f2750e1ea40ac63430a01dd4f53a933e1c25e737dd32b2f

1.首先攻擊者將NFT轉入攻擊合約并進行授權，接著調用xNFT合約中的pledgeAndBorrow函數在進行抵押NFT生成訂單并借款的操作，此處需要注意一點是該函數可以控制傳入的xToken，攻擊者傳入了自己構造的xToken合約地址，并且讓借款數量為0，目的是為了滿足后續能成功提出NFT時的不被清算且負債為0的條件。

2.攻擊者緊接著調用withdrawNFT函數來進行提取抵押的NFT：

正式攻擊交易：

0x51cbfd46f21afb44da4fa971f220bd28a14530e1d5da5009cfbdfee012e57e35

攻擊者調用xToken合約的borrow函數，傳入之前生成的訂單的orderID，重復了該操作22次，而因為NFT在準備階段已經提走，估計無需還款以此來獲利。

總結

本次漏洞的核心在于借款的時候，沒有進行訂單中NFT是否被提走的狀態的判斷，導致攻擊者可以在把NFT提走之后再利用之前生成的訂單來借款而無需還款，以此來獲利。針對此類漏洞，慢霧安全團隊建議在進行借款操作時應做好訂單狀態中是否已經提走抵押品的判斷，避免再次出現此類問題。

Tags：ABUNFTPORSPOSHIBSHABU價格TRUSTNFTFC Porto Fan TokenSamsunspor Fan Token

UNI