OneRing Finance 被黑分析_ONE:NCE

By：小白@慢霧安全團隊

2022 年 3 月 21 日，據慢霧區消息，OneRing Finance 存在嚴重漏洞遭到攻擊，黑客獲利約 1,454,672.244369 USDC（約 146 萬美元），慢霧安全團隊第一時間介入分析，并將結果分享如下：

相關信息

OneRing Finance 是一個去中心化應用程序（DApp），它支持加密貨幣的質押挖礦。用戶可以存入代幣來獲取收益。

以下是本次攻擊涉及的相關地址：

攻擊者地址：

0x12efed3512ea7b76f79bcde4a387216c7bce905e

攻擊交易：https://ftmscan.com/tx/0xca8dd33850e29cf138c8382e17a19e77d7331b57c7a8451648788bbb26a70145

攻擊合約：

0x6a6d593ed7458b8213fa71f1adc4a9e5fd0b5a58

保時捷推出NFT初創公司Fanzone:德國跑車巨頭保時捷數字子公司 Forward 31 推出NFT初創公司 Fanzone，專注于以足球為主題的 NFT 收藏品。（cointelegraph）[2021/6/15 23:37:25]

被攻擊合約：

OneRingVault：0xc06826f52f29b34c5d8b2c61abf844cebcf78abf

攻擊核心點

OneRing 直接使用了 Pair 中的 reserves 參與 OShare 的價格計算，攻擊者利用 OneRingVault 正常的業務邏輯進行巨額的 Swap 操作產生的大滑點，使得 Pair 中的 reserves 非預期的增加，從而拉高了 OShare 的價格，導致相同數量的 OShare 可以取出更多的資金。

具體細節分析

1. 攻擊者構造了攻擊合約，利用閃電貸從 Solidity 借出 80000000 個 USDC 到攻擊合約中

Ripple支持的MoneyTap將在2021年底前連接到20家銀行:1月29日消息，Ripple已完成對日本金融巨頭SBI Holdings的子公司MoneyTap的投資。 注入新資金后，兩位Ripple董事Eric van Miltenburg和Emi Yoshikawa將加入MoneyTap。除Ripple外，該子公司還有38名其他股東。由RippleNet網絡提供支持的MoneyTap應用程序有望在2021年底前連接到20個銀行機構。預計到2月底還將有三家銀行上線。在春季，該應用程序還將采用基于生物識別的數字身份，引入更嚴格的“了解您的客戶（KYC）”程序。 （U.Today）[2021/1/29 14:19:55]

2. 接著通過 swap 函數將 1 個 USDC 兌換成 miMatic 代幣，這里可以看到當前代幣兌換率是 1:1.001109876698508218

IOST生態合作伙伴Donnie Finance上線韓國頭部交易平臺CoinOne:據IOST官方消息，IOST生態合作伙伴Donnie Finance于近日上線韓國頭部交易平臺CoinOne。

CoinOne成立于2014年，總部位于首爾。CoinOne是韓國６家合規交易平臺之一，且是韓國前三大數字貨幣交易平臺。

Donnie Finance是在IOST鏈上開發的DeFi項目，除支持現有的DeFi存貸款業務外，還提供去中心化交易所、資產管理、支付和信用分析等多種服務。今后，IOST將在社區增長、產品開發、技術支持以及國際市場營銷推廣等方面積極扶持Donnie Finance。

2021年1月初Donnie Finance將推出 \"Checking & Saving\"服務，并將同步啟動將ERC通證（以太坊鏈上通證）兌換為IRC通證（IOST鏈上通證）的橋接服務，打通以太坊生態與IOST生態，讓用戶有更多選擇。[2020/12/7 14:28:59]

DFI.Money（YFII）發起關于如何分配Balancer獎勵提案:9月3日，聚合器項目DFI.Money（YFII）收到首批Balancer（BAL）獎勵，共計BAL 679.83個，價值21,814美元。該獎勵來源于YFII/DAI礦池，后續每周都將收到。關于獎勵如何分配，社區發起提案進行投票：放進循環挖礦池；換成yCRV給投票人激勵參與投票；注入社區基金。[2020/9/8]

3. 調用 depositSafe 函數將 79,999,997（$80,079,997.00）個 USDC 充值進合約

這里 depositSafe 函數會內部調用 _deposit 函數，_deposit 函數會調用 _doHardWorkAll 函數，在該函數中會使用 for 循環將部分存入的 USDC 全部兌換成其他的代幣

SBI官方宣布Money Tap獲得肥后銀行（Higo Bank）注資:SBI控股官方宣布，其子公司Money Tap已獲得了九州金融集團（Kyushu Financial Group）旗下肥后銀行（Higo Bank）的注資，本次注資使得向Money Tap出資的銀行數量增至38家。（U.Today）[2020/9/1]

然后 depositSafe 將約 41,965,509.691846094312718922 個 OShare 代幣 mint 給攻擊者。此時我們可以看到 OShare 的價格是 1062758591235248117 這個值

從下面這張圖中可以看出在 swap 后攻擊者使用兩個 USDC 再次兌換 miMATIC 代幣時此時的兌換率已經產生巨大變化：

4. 然后調用 withdraw 函數。我們可以看到 withdraw 函數也調用了getSharePrice 函數進行 OShare 的價格計算

我們來看 getSharePrice 函數：

這里調用了 balanceWithInvested 函數，繼續跟進發現調用了 investedBalanceInUSD 函數：

這里可以看到最終影響價格的是 getUSDBalanceFromUnderlyingBalance 函數

在 getUSDBalanceFromUnderlyingBalance 函數中我們可以看到，該函數使用合約中兩個代幣的數量? _reserves0 和 _reserves1 這兩個值進行計算，由于之前的 swap 導致大量的 USDC 留在池子中，所以導致池子中的 USDC 數量變大，從而使 _amount 變大，這就導致了 getSharePrice 函數獲取到的當前 OShare 的價格變大了

由下圖我們可以看到當前的 OShare 的價格為 1136563707735425848 這個值：

從下面的 withdraw 函數中可以看出最終的提現數量是通過 _withdraw 進行計算得出的

跟進去后發現 _toWithdraw 也是由 balanceWithInvested 計算得出的，這也就導致這個值變大

然后會在這一步將攻擊者持有的 41965509 個 OShare 兌換為 81534750101089 個 USDC

5. 攻擊者歸還閃電貸后獲利離場

MistTrack

據慢霧 MistTrack 分析，攻擊者將獲利的部分 USDC 換成 FTM、ETH，最后將 USDC、ETH 跨鏈到以太坊。同時，以太坊上黑客地址初始資金來自于 Tornado.Cash 轉入的 0.1 ETH，接著黑客將 521 ETH 轉入 Tornado.Cash。

截止目前，黑客以太坊地址仍有近 4.5 萬美元，包括 14.86 ETH 和 100.29 USDC。慢霧 MistTrack 將持續監控黑客地址。

總結

本次攻擊是由于在 MasterChefBaseStrategy 合約中的 getUSDBalanceFromUnderlyingBalance 函數實時儲備量進行計算導致攻擊者可以利用閃電貸制造巨大差值從而獲利。慢霧安全團隊建議在進行 share 的價格計算時不要使用實時儲備量進行計算，避免再次出現此類事故。

Tags：ONEANCNCEUSDGAMEONENeural Radiance FiedYFVW FinanceCUSDC價格

Gate交易所