空手套白狼：Popsicle 被黑分析_FRAG:ORB

2021 年 08 月 04 日，據慢霧區消息，跨鏈收益率平臺 Popsicle Finance 的 Sorbetto Fragola 產品遭受黑客攻擊，慢霧安全團隊第一時間介入分析，并將結果分享如下。

攻擊背景

在本次攻擊中，攻擊者通過創建 3 個攻擊合約來完成對 Sorbetto Fragola 的攻擊，以下是本次攻擊涉及的具體地址：

攻擊者：

H1：0x3A9D90eD069021057d9d11E78F142F2C4267934A

H2：0xf9E3D08196F76f5078882d98941b71C0884BEa52

攻擊合約：

C1：0xdFb6faB7f4bc9512d5620e679E90D1C91C4EAdE6

C2：0x576cf5f8ba98e1643a2c93103881d8356c3550cf

C3：0xd282f740bb0ff5d9e0a861df024fcbd3c0bd0dc8

Sorbetto Fragola：

0xc4ff55a4329f84f9Bf0F5619998aB570481EBB48

攻擊對象

通過官方的介紹我們可以知道被攻擊的 Sorbetto Fragola 產品主要是用于幫助用戶管理 Uniswap V3 頭寸，以避免用戶在 Uniswap V3 做市的頭寸超出所選定的價格范圍。用戶可以在 Sorbetto Fragola 中存入提供流動性對應的兩種代幣，Sorbetto Fragola 會給到用戶 Popsicle LP (PLP) 憑證，用戶使用此憑證可以獲取獎勵并取回抵押的流動性資金，同時此憑證也是可以隨意轉移給其他用戶的。

77枚BAYC在BendDAO面臨清算，已有20枚BAYC健康度不足1.05:6月20日消息，據NFT借貸協議BendDAO信息顯示，77枚BAYC在該平臺瀕臨清算，目前已有20枚BAYC健康度不足1.05，另有57枚BAYC健康度已不足1.10。截至發稿時，BendDAO的BAYC系列NFT地板價為42.69ETH，較NFT交易平臺Blur的BAYC系列NFT地板價40.58ETH高2ETH以上。

注：Bend協議使用健康因子（Health Factor）來對當前的借貸情況進行評估，健康因子是對抵押的NFT相對于借出的ETH及其基礎價值的安全性的數字表示，數值越高則資金狀態就越安全，可以抵御清算風險。當抵押的NFT資產地板價下跌，導致其對應貸款的健康因子低于1，任何人都可以觸發NFT拍賣的清算，48小時強平保護和NFT抵押品的拍賣將同時啟動。

同時，Bend協議使用來自OpenSea和LooksRare的NFT地板價作為NFT抵押品的喂價數據，同時會計算地板價的時間加權平均價格(Time Weighted Average Price,TWAP)來避免NFT市場上NFT價格短期內劇烈波動帶來的影響，以此來保證地板價的準確。[2023/6/20 21:49:54]

攻擊核心

此次攻擊的核心在于，Sorbetto Fragola 中通過用戶持有的 PLP 憑證數量來參與計算用戶所能獲得的獎勵，但 PLP 憑證是可以隨意轉移給其他用戶的，但其憑證轉移的過程中沒有進行獎勵結算轉移等操作。這就導致了只要持有 PLP 憑證就可以立即獲取獎勵。最終造成同個 PLP 憑證卻能在同個時間節點給多個持有者帶來收益。接下來我們對整個攻擊細節進行詳細分析。

軒尼詩旗下Web3平臺H3NSY為其會員社區Café 11推出一項基于NFT的酒瓶設計項目:金色財經報道，法國葡萄酒品牌軒尼詩Hennessy旗下Web3平臺H3NSY宣布于5月22-29日為其獨家會員社區Café 11推出了一項基于NFT的酒瓶設計項目。多年來，軒尼詩只與Kim Jones、Maluma、Frank Guery和Refik Anadol等名人合作設計了他們的標志性酒瓶，但這次 Hennessy 決定讓他們的社區參與創作過程，Café 11 NFT的持有者將有機會對設計方向進行投票，對軒尼詩酒瓶設計的未來方面發表意見，一旦最終敲定設計方案，軒尼詩的包裝設計機構將完善藝術文件、設計酒瓶并制作瓶子NFT，實物酒瓶生產完成后，持有人將有機會使用他們的NFT進行兌換。[2023/5/22 15:18:40]

攻擊細節

攻擊首先通過 H1 地址創建了攻擊合約 C1、C2 與 C3，隨后攻擊者通過 H2 地址調用了攻擊合約 C1 開始進行具體的攻擊，交易為：

0xcd7dae143a4c0223349c16237ce4cd7696b1638d116a72755231ede872ab70fc。

通過分析此交易我們可以發現，其先從 AAVE 中利用閃電貸借出了 30,000,000 個 USDT、13,000 個 WETH、1,400 個 WBTC、30,000,000 個 USDC、3,000,000 個 DAI、200,000 個 UNI，為后續在 Sorbetto Fragola 中提供流動性獲得 PLP 憑證做準備。

LG集團旗下NFT市場LG Art Lab推出iOS應用Wallypto，允許用戶購買NFT:10月5日消息，韓國科技巨頭LG集團旗下NFT市場LG Art Lab推出適用于iOS的Wallypto應用程序，iOS用戶現在可以通過LG Art Lab的Wallypto應用程序購買NFT。[2022/10/5 18:40:11]

隨后攻擊者調用 Sorbetto Fragola 合約的 deposit 函數存入提供流動性對應的兩種代幣 (這里以攻擊者首次存入的 WETH 與 USDT 代幣為例)，其會先通過 checkDeviation 與 updateVault 修飾器分別檢查價格與更新獎勵。價格檢查主要是針對價格是否出現大波動被操控等情況，這里不做展開。而獎勵更新就與本次攻擊密切相關了，我們切入分析：

可以看到其調用了 _updateFeesReward 函數進行具體的更新操作，我們跟進此函數：

持有1+MATIC的以太坊錢包數量超過40萬個:金色財經報道，據Dune Analytics數據顯示，持有1枚以上MATIC Token的以太坊錢包數量已超過40萬個，本文撰寫時401,215個。此外，當前持有10枚以上MATIC Token的以太坊錢包數量為311,343個，持有100枚以上MATIC Token的以太坊錢包數量為141,876個，持有1000枚以上MATIC的以太坊錢包數量為43,405個。[2022/8/13 12:22:22]

從上圖我們可以很容易的發現其先通過 positionLiquidity 函數獲取 tickLower 與 tickUpper 范圍內合約所持有的流動性數量。然后通過 _earnFees 函數從 Uniswap V3 Pool 中收取提供流動性獎勵。之后再通過 _tokenPerShare 函數計算每個 PLP 憑證所能分得的流動性獎勵。最后通過 _fee0Earned 與 _fee1Earned 函數來計算用戶所持有的 PLP 憑證數量可以獲得多少獎勵，并使用user.token0Rewards 與 user.token1Rewards 變量進行記錄，如下圖所示：

韓國檢方調查Do Kwon稅務欺詐相關文件：Do Kwon將代幣交易利潤轉移至避稅天堂:6月15日消息，韓國檢方也對Do Kwon的逃稅指控展開了全面調查。韓國檢方突擊搜查了國家稅務局，以扣押與調查Do Kwon進行稅務欺詐有關的文件。據悉，首爾南地方檢察廳金融證券犯罪聯合調查組近日對首爾地方稅務廳第四調查局進行了搜查和扣押。檢方從國稅局對Do Kwon進行的稅務調查文件發現，自去年6月以來，國稅廳發現了由Do Kwon創建的一家海外公司的可疑資金流向，并開始了稅務調查。事后，國稅廳證實Do Kwon將其新加坡公司的代幣交易利潤竊取到避稅天堂維爾京群島，并征收包括所得稅和公司稅在內的500億韓元稅款。不過，國稅局并未向檢方提出申訴，特別稅務調查的事實通過媒體報道較晚才公布。

在分析扣押和搜查數據的同時，檢方正在積極核實Do Kwon的“逃稅指控”以及Terraform Labs的資金流向。當時，由于國稅廳的調查顯示涉嫌偷漏贈與稅，例如Do Kwon向家人捐贈代幣購買公寓，計劃再次調查這部分。還證實，最高檢察官辦公室最近向該團隊派遣了一名具有虛擬貨幣專業知識的調查員。（SBS NEWS）[2022/6/15 4:29:54]

但由于此時攻擊者剛進行充值操作，還未獲得 PLP 憑證，因此其 user.token0Rewards 與 user.token1Rewards 變量最終記錄的自然是 0。

看到這里你可能已經意識到問題所在了，既然 user.token0Rewards 與 user.token1Rewards 變量記錄的獎勵是根據用戶持有的 PLP 憑證進行計算的，且 PLP 憑證是可以轉移的，那么是否只要持有 PLP 憑證再去觸發此變量記錄獎勵就可以讓我們獲得獎勵。答案自然是肯定的。我們繼續看 deposit 函數：

在獎勵更新之后通過 liquidityForAmounts 函數計算出在目標價格區間內用戶提供資金所占的流動性然后調用 Uniswap V3 Pool  mint 函數注入流動性。隨后通過 _calcShare 計算出 Sorbetto Fragola 所需要鑄造給用戶的 PLP 憑證數量。

在攻擊者獲得 PLP 憑著后也正如我們所想的那樣將 PLP 憑證轉移給其他地址，并調用 Sorbetto Fragola 合約 collectFees 函數來進行獎勵記錄。

通過上圖的 PLP 憑證鏈上轉移記錄我們可以看到，在攻擊合約 C1 獲得 PLP 憑證后，將其轉移給了攻擊合約 C2，隨后調用了 collectFees 函數。之后攻擊合約 C2 再將 PLP 憑證轉移給攻擊合約 C3 再次調用了 collectFees。最后攻擊合約 C3 將 PLP 憑證轉移回攻擊合約 C1。我們切入 collectFees 函數進行分析：

通過上圖我們可以很容易的看出此函數也有 updateVault 修飾器，而經過上面的分析我們可以知道 updateVault 修飾器用于獎勵更新，因此在攻擊合約 C2 持有 PLP 憑證的情況下調用 collectFees 函數觸發 updateVault 修飾器則會根據其持有的 PLP 憑證數量來計算應分得的獎勵，并記入用戶的 token0Rewards 與 token1Rewards 變量。需要注意的是此時對于此類 PLP 憑證持有者緩存的 tokenPerSharePaid 變量是 0，這直接導致了用戶可以獲得 PLP 憑證持有獎勵。

我們從鏈上狀態的變化也可以看出：

隨后攻擊合約 C2 也如法炮制即可獲得獎勵記錄。

最后 PLP 憑證轉移回到攻擊合約 C1，并調用了 Sorbetto Fragola 合約的 withdraw 函數燃燒掉 PLP 憑證取回先前存入的 WETH 與 USDT 流動性。并且攻擊合約 C2、C3 分別調用 collectFees 函數傳入所要領取的獎勵數量以領取獎勵。這樣攻擊者在同個區塊中不僅拿回了存入的流動性還額外獲得多份流動性提供獎勵。

隨后攻擊者開始利用其他的代幣對如法炮制的薅取獎勵，如下圖所示：

攻擊流程

1、攻擊者創建多個攻擊合約，并從 AAVE 中利用閃電貸借出大量的代幣；

2、攻擊者使用借來的代幣存入 Sorbetto Fragola 合約中獲得 PLP 憑證；

3、攻擊者利用 Sorbetto Fragola 合約的獎勵結算缺陷問題將獲得的 PLP 憑證在其創建的攻擊合約之間進行轉移并分別調用了 Sorbetto Fragola 合約的 collectFees 函數來為各個攻擊合約紀錄獎勵；

4、攻擊者燃燒 PLP 憑證取回在 Sorbetto Fragola 合約中存入的流動性資金，并通過各個攻擊合約調用 Sorbetto Fragola 合約的 collectFees 函數來獲取紀錄的獎勵；

5、不斷的循環上述操作攻擊各個流動性資金池薅取獎勵；

6、歸還閃電貸獲利走人。

MistTrack 分析過程

慢霧 AML 團隊分析統計，本次攻擊損失了約 4.98M USDT、2.56K WETH、96 WBTC、5.39M USDC、159.93K DAI、10.49K UNI，接近 2100 萬美元。

資金流向分析

慢霧 AML 旗下 MistTrack 反洗錢追蹤系統分析發現，攻擊者 H1 地址首先從 Tornado.Cash 提幣獲取初始資金隨后部署了三個攻擊合約：

攻擊獲利后通過 Uniswap V3 將獲得的代幣兌換成 ETH 再次轉入了 Tornado.Cash：

目前攻擊者賬戶余額僅為 0.08 ETH，其余資金均已通過 Tornado.Cash 進行轉移。

總結

本次漏洞的核心在于由于獎勵更新記錄缺陷導致同個 PLP 憑證能在同個時間節點給多個持有者都帶來收益。針對此類漏洞，慢霧安全團隊建議在進行憑證轉移前應處理好獎勵結算問題，記錄好轉移前后用戶的獎勵緩存，以避免再次出現此類問題。

Tags：NFTFRAORBFRAGNFTshootoutFRATS幣orbr幣是什么fragrans

幣安交易所app下載