PeckShield：bZx協議再遭黑客“二連擊”背后的技術命門_ETH:togetherbnb能睡幾個

PeckShield團隊在上一篇文章《PeckShield：硬核技術解析，bZx協議遭黑客漏洞攻擊始末》中分析了bZx于02月15日遭到黑客一次可組合資產流動性攻擊，那是由于bZx合約對抵押品狀態判斷不完善導致的。02月18日，bZx再次遭遇了類似的攻擊，這一次的攻擊從技術原理與上一次不同，此次黑客是通過操縱Oracle價格對bZx合約進行了“蒙騙”。從攻擊流程上來看，這一次與上次剛好相反，但整體上的套利手段還是一致的，根本原因主要是由于平臺間共享流動性過小以及價格機制設計缺陷導致的。

Figure:FiveExploitationStepsWithOracleManipulation本文的初衷是希望通過分析此漏洞的一些攻擊細節讓大家能夠更直觀的了解此次攻擊事件，并希望可以引起更深入的討論。我們相信，這些討論將對DeFi社區的完善和發展是十分有益的，特別是項目方在開發下一代的DeFi類產品時，可以有助于設計出更安全，更可靠的流動性共享模型。漏洞的攻擊細節如下：此攻擊事件發生在北京時間2020-02-1811:18:58。攻擊者的交易信息可以在etherscan上查到。此攻擊過程可以分為以下五個步驟：第一步：閃貸獲取可用資產

由Snag Solutions為ApeCoin DAO建立NFT交易市場提案投票獲得通過:9月22日消息，面向NFT項目的平臺解決方案Snag Solutions首席執行官兼聯合創始人Zach Heerwagen在ApeCoin DAO社區發布的關于“建立社區優先的ApeCoin DAO市場”提案投票已獲得通過。該提案提出的市場將在一個單一的市場UI中托管所有Yugaverse項目，費用大大降低，將資金保留在BAYC生態系統中，并改善交易雙方的市場體驗。對于使用APE進行的交易，買賣雙方無需額外交易費用，對于使用ETH掛單的用戶將收取一定的交易費，交易費收入將交由社區多簽錢包管理。

此前早些時候消息，由Magic Eden為ApeCoin持有者構建NFT市場的提案投票未通過。[2022/9/22 7:13:49]

bZx合約有一個flashBorrowToken()接口，允許調用者可以“零成本”從bZx平臺上借出資產參與DeFi活動，之后在完成這一筆交易的時候償還這部分資產。且調用者在借出資產的同時，可以指定資產的接收方地址。

ApeCoin社區發起提案 希望將APE留在以太坊生態:6月3日消息，據ApeCoin Snapshot頁面顯示，ApeCoin社區發起提案AIP-41，希望將APE留在以太坊生態。

此前報道，Yuga Labs考慮將ApeCoin遷移至其他L1。[2022/6/3 4:00:44]

Figure1:FlashloanBorrowingFrombZx本次攻擊者向bZx平臺借出7,500ETH，并指定攻擊者的合約為資產接收方地址，這部分是基本的借貸功能，此處不做進一步解釋。當這一步操作過后，如下表中所示系統資產分布：

第二步：拉升sUSD

BAYC 開發公司 Yuga Labs 計劃推出元宇宙MetaRPG，并發行APECoin:3月16日消息，BAYC開發公司 Yuga Labs 計劃推出元宇宙MetaRPG，并發行APECoin代幣。Yuga Labs 此舉旨在擴展 BAYC 世界，MetaRPG 將是以游戲為中心的元宇宙，Yuga Labs 計劃在今年 3 月和 8 月進行兩次元宇宙土地銷售來籌集 1.78 億美元。元宇宙內土地總量為 20 萬塊，Yuga Labs 將為自己其中保留一部分。此外，Yuga Labs 與 Animoca Brands 合作開發的賽車游戲也將參與此次發布。[2022/3/16 13:58:41]

首先，我們介紹一下今天攻擊者的最佳配角：sUSD，sUSD是由Synthetix項目方發行的穩定幣，其幣價正常情況下與1美元持平，總發行量為5,563,037枚。

動態 | Spectrum公鏈將推出比特幣相關協議 可利用閃電網絡實現即時交易:據CoinDesk 6月14日消息，Spectrum公鏈將推出一個以比特幣為中心的協議，可利用閃電網絡實現即時交易。[2019/6/14]

通過第一步閃貸獲得ETH后，攻擊者分兩批共900ETH通過KyberNetworkDEX換取成sUSD。其中第一次使用540ETH換取，攻擊者得到92,419枚sUSD；第二批分18次，每次20ETH換取，，攻擊者獲得63,584枚sUSD，總共獲得了156,003枚sUSD。

Figure2:PumpingWithKyber(andUniswap)這兩步驟也是正常的DEX幣幣交換的過程，在這兩個批次操作之后sUSD對ETH的價格瘋漲到了0.00899，是市場價的2.5倍。在這一步之后，使得sUSD價格被抬高了1.5倍，攻擊者手里的資產還是正常與KyberNetwork交互，并沒有實質性的攻擊發生。然而，KybrNetwork內部通過Uniswap完成sUSD與ETH轉換，這使得那些將Uniswap作為sUSD/ETHOracle的其它平臺誤認為當前sUSD價格的確有這么高，這才觸發了后面的攻擊事件。此時，系統的資產如下：

聲音 | PeckShield吳家志：克服安全事件當務之急是做風控布局:據IMEOS消息，本周，在 EOS Canada 的采訪中，PeckShield 的聯合創始人兼研發副總裁吳家志認為對區塊鏈開發者而言最大的挑戰在于區塊鏈行業追求去中心化、透明化等一系列特性，故而潛在的安全風險和障礙較大，尤其是黑客攻擊可能會伴隨產品發展始終。由于區塊鏈發展早期導致技術相對薄弱、幣價火熱引起注意和犯罪成本極低等原因，攻擊者強于建設者，是目前每個開發者都會面臨的行業大環境。他說：“若要克服，當務之急要做的就是做風控布局，從DApp開發之始就加強安全防護，在投入上把安全放在第一位，在此基礎上再強化運營和推廣。很顯然，目前整個DApp業態過于重視運營推廣卻忽略了最基礎的安全防御工作，這才導致了一連串的安全事件，不僅給涉及到的DApp開發者帶來了當頭一擊，也猛挫了市場的信心。”[2019/3/7]

第三步：吸納更多籌碼

攻擊者希望將手里的6,000ETH通過SynthetixexchangeEtherForSynths()接口全部換成sUSD。而Synthetix這邊也沒有足額的sUSD來促成這筆交易，只交換了其中的3,518枚ETH，并將剩余的2,482枚ETH返還給攻擊者，攻擊者獲得了943,837枚sUSD。

Figure3：HoardingFromSynthetix到此為止，攻擊者手里已經擁有的sUSD總量為1,099,841枚，占總發行量的19.7%。當前系統中的賬本數據如下：

第四步：抵押借款

攻擊者將手里擁有的1,099,841枚sUSD通過bZx的borrowTokenFromDeposit()接口全部抵押到bZx合約之中，按照sUSD/ETH正常價格的話，bZx應當借給攻擊者3,928ETH，但是bZx從OracleKyber這邊獲取的價格偏高，使得借出了6,796枚ETH，多借了2,868ETH。

Figure4:CollateralizedBorrowingFrombZx到此為止，系統的賬本信息如下：

第五步：閃貸還款

攻擊者利用從bZx借到的6,796枚ETH以及手中剩余的資產一起還給之前從bZx借出來的7,500ETH，然后退場離開，完成閃貸操作。

Figure5:RepayTheFlashloanTobZx完成整個閃電貸流程之后，當前資產情況：

1）bZx平臺對攻擊者借出的6,796ETH；2）bZx平臺持有1,099,841枚sUSD；3）攻擊者手上還持有2,378枚ETH。最終攻擊者手中持有的2,378ETH部分為其獲利，合計$665,840；而bZx平臺負債為2,868ETH，即$803,040。總結

這一次的攻擊事件中，我們能看出DeFi產品在設計過程中幾個明顯的問題點：1）當引入第三方Token的時候，需要考察第三方Token的安全性，有沒有可能被單方面市場操縱，從而引起價格波動；2）DeFi平臺自身應當有價格容錯與檢驗機制，使用第三方Oracle獲取價格的時候，對他方的數據有盡可能多的驗證；3）平臺自身對于價格也應當設立止水閥機制。從第一次bZx被攻擊損失1,271枚ETH，這一次又損失2,378枚，且這兩次攻擊之間只相差了3天時間，可見DeFi特別項目的安全問題非常嚴峻。由于各項目由不同團隊開發，對各自產品的設計與實現理解有限，集成的產品很可能在與第三方平臺交互的過程中出現安全問題，進而腹背受敵。PeckShield在此建議，DeFi項目方在上線之前，應當盡可能尋找對DeFi各環節產品設計有深入研究的團隊做一次完整的安全審計，以避免潛在存在的安全隱患。

Tags：ETHBZXUSDSUSDtogetherbnb能睡幾個bZx ProtocolUSDGLOASUSD幣

瑞波幣