NFT 借貸平臺 XCarnival 被盜3000 ETH 事件分析_ORD

NFT借貸平臺@XCarnival_Lab大約7個小時之前被黑了，至少有3000個$ETH被盜。下面是該事件的簡要分析：

該NFT借貸平臺的合約有個bug：作為抵押品的NFT在取出后，其orderID仍然可用，可以此申請貸款。

有三個相關合約：xETH,錢在這里main.https://etherscan.io/address/0xb38707e31c813f832ef71c70731ed80b45b85b2d……?

?xNFT,NFT管理器.https://etherscan.io/address/0xb14b3b9682990ccc16f52eb04146c3ceab01169……?

報告：一季度元宇宙NFT交易量達3.11億美元:金色財經報道，根據周四發布的DappRadar報告，2023年第一季度元宇宙的NFT交易有所增加，今年迄今為止總計3.11億美元。根據該報告，由于 Yuga Labs的Otherside和MG Land等平臺在該領域占據主導地位，虛擬土地交易在過去一個季度達到了14.7萬筆交易的歷史新高。另一方面，與Otherside元宇宙中的土地相關的NFT在第一季度的交易量為2.22億美元，比上一季度增長了237%。

此外，DappRadar數據顯示，2023年第一季度，4.175億美元投資于鏈游和元宇宙項目。（Coindesk）[2023/3/24 13:23:50]

?P2Controller,很多借貸限制條件的驗證者.

食品巨頭Kraft Foods已提交元宇宙、NFT以及加密貨幣相關商標申請:6月13日消息，據美國律師Mike Kondoudis的推文，全球第二大食品公司卡夫（Kraft Foods）已為其KRAFT、JELL-O、KOOL-AID、VELVEETA、LUNCHABLES、OSCAR MEYER及PHILADELPHIA品牌提交元宇宙、NFT以及加密貨幣相關商標申請，范圍涵蓋NFT及NFT支持的媒體和數字貨幣、NFT市場、虛擬餐廳以及食品和飲料。[2022/6/13 4:21:49]

黑客https://etherscan.io/address/0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a…從Tornado中拿出了干壞事的啟動資金.然后在OpenSea上購買了#BAYC5110。

NFT 概念板塊今日平均跌幅為2.48%:金色財經行情顯示，NFT 概念板塊今日平均跌幅為2.48%。26個幣種中11個上漲，15個下跌，其中領漲幣種為：LAR(+9.27%)、MIX(+6.23%)、DEP(+4.87%)。領跌幣種為：MEME(-19.42%)、RARI(-10.71%)、SAND(-8.92%)。[2021/8/31 22:49:21]

他部署了一個總控合約0xf706…ca8dhttps://etherscan.io/address/0xf70f691d30ce23786cfb3a1522cfd76d159aca8d……,該合約生成了很多用來當女巫用同一個NFT進行借貸的馬仔合約，比如0x5338…3714https://etherscan.io/address/0x53386a82e55202a74c6d83c7eede7a80ba553714…….

CryptoPunks NFT總價值已接近20億美元:金色財經報道，尼科西亞大學未來研究所（IFF）發布的研究報告顯示，全部共10,000個CryptoPunk NFT的總價值已超過19.5億美元。 研究人員指出，到2030年，NFT的市場規模將達到數萬億美元。[2021/5/12 21:50:52]

首先，總控將BAYC轉給某個馬仔。馬仔然后調用xNFT中的pledgeAndBorrow()函數，抵押品為BAYC，但什么也沒貸。本步驟生成了一個orderID(43)。

本Tx中可以看到這些過程，不過只有internaltransaction。如果想詳細解讀得自己深挖調用棧。馬仔5338然后取出剛才抵押的NFT，并還給總控。總控再把NFT給別的馬仔。如此左手倒右手循環，黑客搞出了幾十個orderID，之后可作為借款憑證。而有bug的xNFT并沒有在取出抵押物后撤銷憑證orderID。

下一步，總控讓所有馬仔依次從xETH合約里借錢。攻擊完成。黑客用空氣借走了真金白銀。這是其中一個tx。

上面的是大概過程。再來看下細節。在xNFT合約中，withdrawNFT()并咩有在取出后消除orderID。當P2controller調用getOrderDetail()時還是能取到這個ID。

在xETH中，borrow()會調用borrowInternal()然后調用controller.borrowAllowed()來驗證orderID是否有效。

這個是P2controller的borrowAllowed()函數。首先會問xNFT.getOrderDetail()，這個肯定過。還有其他各種限制，但沒有一個好使，我在代碼評論中有分析。注：黑客之所以要多個馬仔合約是因為這里最下面有一個對單個orderID的借貸數量的限制。

總結：抵押物在取出后還有效，這是一個非常簡單粗暴膚淺的合約bug。下面這張圖是這些錯綜復雜的內部調用的清晰的調用棧。想不借助工具裸眼分析如果看麻了可以參考下圖。

Tags：NFTORDETHDERIGame NFTordi幣實時價格Magic Ethereum MoneyDerived

ADA