Polygon上收益聚合項目PolyYeld Finance被攻擊事件分析_Poloniex:ONI

北京時間7月28日，收益聚合器PolyYeld.Finance遭到攻擊，其代幣YELD歸零，攻擊者獲利25萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

一、事件分析

攻擊者地址：

0x56ec01726b15b83c25e8c1db465c3b7f1d094756

0x1bdf24cb4c7395bf6260ebb7788c1cbf127e14c7

LayerZero：已上線Polygon zkEVM主網:金色財經報道，全鏈互操作性協議LayerZero官方表示，已上線Polygon zkEVM主網，并將繼續尋求將LayerZero引入每條鏈。[2023/4/26 14:26:45]

從交易詳情可以看出攻擊者獲取的獎勵費用異常。

lpSupply值被操縱為1，導致1300行計算錯誤。

根本原因在于當前合約的LPToken的余額不是所有用戶質押的LPTokn總額，其中還包含攻擊者向當前合約轉入的LP?Token金額，這導致了lpSuppy被操縱為1的情況，造成了錯誤的判斷和計算。

Alameda在Polygon發布4.5億美元融資消息前有大額MATIC買入:金色財經報道，2 月 9 日，有加密社區成員發現，由 SBF 創立的 Alameda Research在DEX的交易地址是0x0f4ee9631f4be0a63756515141281a3e2b293bbe，該地址在Polygon發布4.5億美元融資消息前有大額MATIC買入。據悉，該地址操作非常頻繁，近期強勢反彈的山寨Toekn基本都有參與。以太坊擴容解決方案 Polygon 于 2 月 7 日宣布完成 4.5 億美元融資，包括紅杉資本、軟銀、老虎全球管理基金、Galaxy Digital等多家知名風投參投。[2022/2/9 9:39:48]

詳細函數分析

攻擊者事先給16號池轉入1LPToken

攻擊者合約0x56ec01726b15b83c25e8c1db465c3b7f1d094756調用balanceOf函數查詢lpSupply的值為1

KamPay現已在Polygon上線:KamPay Token現已上線Polygon。通過KamPay，非洲用戶可以參與小額貸款計劃并享受去中心化金融。Kampay將使用AnySwap部署Polygon跨鏈梁，這將增強其互操作性功能。[2021/8/26 22:37:32]

調用updatePool函數

調用balanceOf函數查詢lpSupply的值

Circle撥出1040萬美元以解決SEC關于Poloniex的案件:7月21日消息，加密貨幣運營商Circle Internet Financial Ltd.表示，根據一份監管文件，它已經撥出1040萬美元來解決美國證券交易委員會對Poloniex LLC（其已停止的加密貨幣交易所業務）提起的案件.根據本月早些時候提交給SEC的監管文件，Circle本月宣布將以45億美元的特殊目的收購公司合并上市。

前一年，Circle收購Poloniex后，于2019年將其出售，并損失了1.568億美元。Circle表示此次出售是為了 \"從與投機性加密貨幣交易有關的業務中剝離\"，并使其業務與所提供的產品 \"更好地保持一致\"。根據該文件，SEC于2017年12月對Poloniex提出投訴，涉及 \"可能被定性為證券的加密貨幣交易\"。

3月，Poloniex提出以1,040萬美元的價格解決此案。此外，在文件中，Circle還披露它正在接受美國財政部外國資產控制辦公室對其已停止的Poloniex業務的調查。（華爾街日報）[2021/7/21 1:06:42]

此時由于lpSupply的值為1，判斷條件不符，繼續執行函數代碼

動態 | Poloniex退出維護模式并重啟市場交易 早間曾因軟件Bug導致一時段交易取消:Poloniex官方剛剛發布消息稱，目前Poloniex已退出維護模式，并重新啟動所有市場交易。今日早間消息，加密貨幣交易所Poloniex因軟件問題導致“錯誤執行”，取消12分鐘內所有交易。隨后Poloniex官方宣布進入維護模式，并調查問題所在。[2020/2/11]

調用getMultiplier函數獲取差值

YeldPerBlock值為10000000000000000，allocPoint值為2000，totalAllocPoint值為29000。但下一步中將計算獎勵的百分之十鑄幣給項目方，并未從給用戶的獎勵中扣除，這將導致通脹。

將鑄造給項目方和當前合約地址的Token數量添加到totalSupply

此時YeldReward值為25517241379310344，乘上1e18，再除lpSupply的值1。

執行結束后，accYeldPerShare的值為25517241379310346060896017401670445

返回user.amount的值為249792662487644753291986140279580

計算完成后調用withdraw提取獎勵，函數內調用payReferralCommission函數鑄造通過上面計算得到的token數量。

事件分析總結，該項目存在多個問題：

項目方收取百分之十的收益時直接鑄幣并未從用戶收益中扣除，導致通脹。

調用Masterchef合約實現推薦機制，即推薦者永久享受被推薦者收益的百分之二，但這百分之二并未從被推薦者收益中扣除。

正常情況下，合約計算收益的邏輯沒有錯誤，lpSupply應該為合約中的總Token數，但攻擊者通過操作，使得lpSupply為1，手動執行一次updatePool函數，使其計算出來的參數錯誤，再使用另外一攻擊合約的地址正常質押提取，使得推薦者獲得超出其本身應該獲得的收益。

Tags：POLPOLOPoloniexONIPOLIpoloniex官網poloniex關聯DONI價格

DYDX