慢霧：假錢換真錢 揭秘 Pickle Finace 被黑過程_JAR:Geojam

據慢霧區情報，2020 年 11 月 22 日，以太坊 DeFi 項目 Pickle Finance 遭受攻擊，損失約 2000萬DAI。慢霧安全團隊第一時間跟進相關事件并進行分析，以下為分析簡略過程

1、項目的 Controller 合約中的 swapExactJarForJar 函數允許傳入兩個任意的 jar 合約地址進行代幣的兌換，其中的 _fromJar, _toJar, _fromJarAmount, _toJarMinAmount 都是用戶可以控制的變量，攻擊者利用這個特性，將 _fromJar 和 _toJar 都填上自己的地址，_fromJarAmount 是攻擊者設定的要抽取合約的 DAI 的數量，約 2000萬 DAI

慢霧：針對macOS系統惡意軟件RustBucket竊取系統信息:金色財經報道，SlowMist發布安全警報，針對macOS 運行系統的 Rust 和 Objective-C 編寫的惡意軟件RustBucket，感染鏈由一個 macOS 安裝程序組成，該安裝程序安裝了一個帶后門但功能正常的 PDF 閱讀器。然后偽造的 PDF 閱讀器需要打開一個特定的 PDF 文件，該文件作為觸發惡意活動的密鑰。[2023/5/23 15:20:27]

2、使用 swapExactJarForJar 函數進行兌換過程中，合約會通過傳入的 _fromJar 合約和 _toJar 合約的 token() 函數獲取對應的 token 是什么，用于指定兌換的資產。 而由于 _fromJar 合約和 _toJar 合約都是攻擊者傳入的，導致使用 token() 函數獲取的值也是可控的，這里從 _fromJar 合約和 _toJar 合約 獲取到的 token 是 DAI，。

慢霧：Gate官方Twitter賬戶被盜用，謹慎互動:10月22日消息，安全團隊慢霧發文稱：加密平臺Gate官方Twitter賬戶被盜用，謹慎互動。半小時前，攻擊者利用該賬戶發文，誘導用戶進入虛假網站連接錢包。此外，慢霧科技創始人余弦在社交媒體上發文表示：注意下，Gate官方推特應該是被黑了，發送了釣魚信息，這個網址 g?te[.]com 是假的（之前談過的 Punycode 字符有關的釣魚域名），如果你去Claim會出現eth_sign這種簽名釣魚，可能導致ETH等相關資產被盜。[2022/10/22 16:35:14]

3. 此時發生兌換，Controller 合約使用 transferFrom 函數從? _fromJar 合約轉入一定量的的 ptoken，但是由于 fromJar 合約是攻擊者控制的地址，所以這里轉入的 ptoken 是攻擊者的假幣。同時，因為合約從 _fromJar 合約中獲取的 token 是 DAI，然后合約會判斷合約里的資金是否足夠用于兌換，如果不夠，會從策略池中贖回一定量的代幣 然后轉到 Controller 合約中。在本次的攻擊中，合約中的 DAI 不足以用于兌換，此時合約會從策略池中提出不足的份額，湊夠攻擊者設定的 2000萬 DAI?

慢霧：Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報，Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下：

1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。

2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。

3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。

4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。

針對該事件，慢霧給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]

4. 兌換繼續，Controller 合約在從策略池里提出 DAI 湊夠攻擊者設定的 2000萬 DAI后，會調用 _fromJar 的 withdraw 函數，將攻擊者在第三步轉入的假 ptoken burn 掉，然后合約判斷當前合約中 _toJar 合約指定的 token 的余額是多少，由于 _toJar 合約指定的 token 是 DAI，Controller 合約會判斷合約中剩余 DAI 的數量，此時由于 第三步 Controller 合約已湊齊 2000萬DAI，所以 DAI 的余額是 2000萬。這時 Controller 合約調用 _toJar 合約的 deposit 函數將 2000萬 DAI轉入攻擊者控制的 _toJar 合約中。到此，攻擊者完成獲利

總結：此次攻擊中，攻擊者通過調用 Controller 合約中的 swapExactJarForJar 函數時，偽造? _fromJar 和 _toJar 的合約地址，通過轉入假幣而換取合約中的真 DAI，完成了一次攻擊的過程。

Tags：JARDAIROMOJAJAR價格ADAI價格chromia幣開發去中心化交易所Geojam

NEAR