OneRing Finance 被黑分析_USD:CARES

By：小白@慢霧安全團隊

2022 年 3 月 21 日，據慢霧區消息，OneRing Finance 存在嚴重漏洞遭到攻擊，黑客獲利約 1,454,672.244369 USDC（約 146 萬美元），慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

OneRing Finance 是一個去中心化應用程序（DApp），它支持加密貨幣的質押挖礦。用戶可以存入代幣來獲取收益。

以下是本次攻擊涉及的相關地址：

攻擊者地址：

0x12efed3512ea7b76f79bcde4a387216c7bce905e

攻擊交易：https://ftmscan.com/tx/0xca8dd33850e29cf138c8382e17a19e77d7331b57c7a8451648788bbb26a70145

攻擊合約：

0x6a6d593ed7458b8213fa71f1adc4a9e5fd0b5a58

Upbit、Bithumb、Coinone等韓國加密交易所將下架Paycoin（PCI）:3月31日消息，Upbit、Bithumb、Coinone等韓國加密交易所通過官網宣布將于當地時間4月14日15:00（北京時間4月14日14:00）下架Paycoin（PCI）。Upbit 表示，“直至投資警告期限屆滿之日，Paycoin方未能解決投資警告所指出的原因，例如未發行實名存取款賬戶名稱及未能完成虛擬資產經營者變更報告。因此，使用PCI的境內支付業務被判定為實質上已暫停。從業績和方向來看，投資者投資此項目會有較大風險，因此我們決定終止交易支持。”

據悉，Paycoin是韓國大型支付公司Danal子公司Danal Fintech旗下加密貨幣支付平臺。[2023/3/31 13:37:20]

被攻擊合約：

OneRingVault：0xc06826f52f29b34c5d8b2c61abf844cebcf78abf

攻擊核心點

OneRing 直接使用了 Pair 中的 reserves 參與 OShare 的價格計算，攻擊者利用 OneRingVault 正常的業務邏輯進行巨額的 Swap 操作產生的大滑點，使得 Pair 中的 reserves 非預期的增加，從而拉高了 OShare 的價格，導致相同數量的 OShare 可以取出更多的資金。

幣格BigONE將上線 AIDUS并開啟AIDUS/USDT交易對:據幣格BigONE官方消息，BigONE將于5月21日18:00（UTC+8）上線AIDUS，并開啟AIDUS/USDT交易對。此外，BigONE將聯合AIDUS項目方舉辦凈買入交易賽與理財活動。

AIDUS Token是一個以區塊鏈為基礎的多元化全球基金市場平臺，項目團隊經過15年的時間，于2015年完成Quant Trading system(QTS)的開發。通過AIDUS與QTS的聯合建立了一套基于AIDUS代幣的資產管理平臺。

幣格BigONE是一家綜合性數字資產托管及交易平臺，致力于搭建全品類、一站式的數字資產相關生態體系，為用戶挑選全球優質TOKEN。[2020/5/21]

具體細節分析

1. 攻擊者構造了攻擊合約，利用閃電貸從 Solidity 借出 80000000 個 USDC 到攻擊合約中

聲音 | Ripple CTO：XRP和iPhone類似 大眾并不希望其公司盈利:Ripple的首席技術官David Schwartz最近在推特中，將XRP比作iPhone，以證明大眾并不想使Ripple盈利。他稱，沒有人真正關心他們為誰創造價值，他們關心的是某樣東西能為他們提供什么特性和優勢。我不回避iPhone，我也不希望蘋果股東賺錢。（UToday）[2020/1/6]

2. 接著通過 swap 函數將 1 個 USDC 兌換成 miMatic 代幣，這里可以看到當前代幣兌換率是 1:1.001109876698508218

3. 調用 depositSafe 函數將 79,999,997（$80,079,997.00）個 USDC 充值進合約

聲音 | Money Button首席執行官：Craig Wright是真正的中本聰:據ambcrypto報道，Money Button首席執行官Ryan Charles近日稱，澳本聰Craig Wright有17個學位，即將獲得兩個博士學位，同時還有一份全職工作，是其一生中聽說過的最嚴肅的終身學習者和科學家。此外，基于在線證據和他與澳本聰的個人互動，他認為Wright是“真正的中本聰”，Charles稱，澳本聰解釋了許多沒有人解釋過的事情。[2019/5/4]

這里 depositSafe 函數會內部調用 _deposit 函數，_deposit 函數會調用 _doHardWorkAll 函數，在該函數中會使用 for 循環將部分存入的 USDC 全部兌換成其他的代幣

現場 | 芊樾：onetop熊市階段致力全球布局:10月31日晚間，由金色財經主辦的“金色萬圣節區塊鏈狂歡夜”在北京VCplay舉辦。Onetop評級聯合創始人芊樾代表本次活動的11個協辦方發表講話。她指出，onetop是一個評級平臺，熊市階段我們在全球進行布局，并深耕當地項目。[2018/10/31]

然后 depositSafe 將約 41,965,509.691846094312718922 個 OShare 代幣 mint 給攻擊者。此時我們可以看到 OShare 的價格是 1062758591235248117 這個值

從下面這張圖中可以看出在 swap 后攻擊者使用兩個 USDC 再次兌換 miMATIC 代幣時此時的兌換率已經產生巨大變化：

4. 然后調用 withdraw 函數。我們可以看到 withdraw 函數也調用了getSharePrice 函數進行 OShare 的價格計算

我們來看 getSharePrice 函數：

這里調用了 balanceWithInvested 函數，繼續跟進發現調用了 investedBalanceInUSD 函數：

這里可以看到最終影響價格的是 getUSDBalanceFromUnderlyingBalance 函數

在 getUSDBalanceFromUnderlyingBalance 函數中我們可以看到，該函數使用合約中兩個代幣的數量? _reserves0 和 _reserves1 這兩個值進行計算，由于之前的 swap 導致大量的 USDC 留在池子中，所以導致池子中的 USDC 數量變大，從而使 _amount 變大，這就導致了 getSharePrice 函數獲取到的當前 OShare 的價格變大了

由下圖我們可以看到當前的 OShare 的價格為 1136563707735425848 這個值：

從下面的 withdraw 函數中可以看出最終的提現數量是通過 _withdraw 進行計算得出的

跟進去后發現 _toWithdraw 也是由 balanceWithInvested 計算得出的，這也就導致這個值變大

然后會在這一步將攻擊者持有的 41965509 個 OShare 兌換為 81534750101089 個 USDC

5. 攻擊者歸還閃電貸后獲利離場

MistTrack

據慢霧 MistTrack 分析，攻擊者將獲利的部分 USDC 換成 FTM、ETH，最后將 USDC、ETH 跨鏈到以太坊。同時，以太坊上黑客地址初始資金來自于 Tornado.Cash 轉入的 0.1 ETH，接著黑客將 521 ETH 轉入 Tornado.Cash。

截止目前，黑客以太坊地址仍有近 4.5 萬美元，包括 14.86 ETH 和 100.29 USDC。慢霧 MistTrack 將持續監控黑客地址。

總結

本次攻擊是由于在 MasterChefBaseStrategy 合約中的 getUSDBalanceFromUnderlyingBalance 函數實時儲備量進行計算導致攻擊者可以利用閃電貸制造巨大差值從而獲利。慢霧安全團隊建議在進行 share 的價格計算時不要使用實時儲備量進行計算，避免再次出現此類事故。

Tags：ONEUSDARESHASAFEZONE幣GUSDCARESAlmace Shards

以太坊最新價格