以小博大，簡析 Sushi Swap 攻擊事件始末_ETH:SHI

By:慢霧安全團隊

2020年11月30日，據慢霧區情報，以太坊AMM代幣兌換協議SushiSwap遭遇攻擊，損失約1.5萬美元。慢霧安全團隊第一時間介入分析，并以簡訊的形式分享，供大家參考。

背景提要

SushiSwap項目中SushiMaker合約的作用是用于存放SushiSwap中每個交易對產生的手續費。其中手續費會以SLP(流動性證明)的形式存放在合約中。SushiMaker合約中有一個convert函數，用于將從每一個交易對中收集的手續費通過調用各自交易對的burn函數獲得對應的代幣，然后將這些代幣轉換成sushi代幣，添加到SushiBar合約中，為SushiBar中抵押sushi代幣的用戶增加收益，而此次的問題就出在SushiMaker合約。

crvUSD鑄造數量超1.3億枚，創歷史新高:8月29日消息，Curve網站數據顯示，Curve原生穩定幣crvUSD鑄造數量突破1.3億枚，創歷史新高，其中基于wstETH的抵押品價值為9040萬美元，基于WBTC的抵押品價值為5832萬美元，基于sfrxETH的鑄抵押品價值約為1215萬美元，基于ETH的抵押品價值為1359萬美元。[2023/8/29 13:03:16]

攻擊流程

1、攻擊者選中SushiSwap中的一個交易對，如USDT/WETH，然后添加流動性獲得對應的SLP(USDT/WETH流動性證明，以下簡稱SLP)，使用獲得的SLP和另外的少量WETH創建一個新的SushiSwap交易對，然后得到新代幣池的SLP1(WETH/SLP(USDT/WETH)流動性證明，以下簡稱SLP1)轉入SushiMaker合約中。

Curve：Arbitrum Tricrypto 池也可能會受影響，請退出使用:7月31日消息，Curve 發推稱，由于版本 0.2.15-0.3.0 中的 Vyper 編譯器存在問題，CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH 被黑客攻擊。此外，Arbitrum Tricrypto 池也可能會受影響，審計人員和 Vyper 開發人員暫未找到可攻擊漏洞，但請退出使用。[2023/7/31 16:09:03]

2、調用SushiSwap的convert函數，傳入的token0為第一步獲得的SLP，token1為WETH。調用convert函數后，SushiMaker合約會調用token0和token1構成的代幣池的burn函數燃燒SLP1，燃燒掉攻擊者在第一步中打入SushiMaker合約中的SLP1，得到WETH和SLP。

dYdX社區決定將最大8小時資金費率從0.75%提高至4%:4月24日消息，dYdX社區已通過DIP22-將最大資金費率（8h）提高到4%并修復V3永續合約中的數據錯誤鏈上投票。該提案擬將所有市場的最大8小時資金費率從0.75%提高到4%，并對相關的dYdXV3永續合約部署修復程序以解決數據可用性問題。

此前，Considered Finance發表了一篇關于現有資金利率限制對dYdX市場影響的論文。該研究確定了幾個最高利率不足以激勵dYdX市場價格與基礎指數價格趨同的情況。這導致dYdX市場和交易體驗效率低下。為了解決這個問題，Considered Finance建議將最大8小時利率從-0.75%和0.75%提高到-4%和4%之間。這一變化將改善交易體驗，并減少通過保證金調整進行人工干預的需要。同時，在當前版本的dYdX Stark ExCairo代碼中發現了一個漏洞，該錯誤僅在交易導致抵押品余額（即價值）正好為0（在支付所有費用后）的特定情況下，以及對于仍有倉位的賬戶，才會觸發這個漏洞。這可能會導致一旦交易所被凍結就無法取回資金，dYdX和StarkWare都無法為用戶提供幫助。[2023/4/24 14:22:55]

3、SushiMaker合約的convert函數緊接著會調用內部的_toWETH函數將burn獲得的代幣轉換成WETH，由于在第二步SushiMaker合約通過burn獲得了SLP和WETH。其中WETH無需轉換，只需轉換SLP。此時，轉換將會通過調用SLP/WETH交易對進行轉換，也就是攻擊者在第一步創建的交易對。由于SushiMaker合約在轉換時會將所有的balanceOf(token0)轉換成WETH，這里傳入的token0為SLP，于是合約將合約中所有的SLP通過SLP/WETH交易對進行兌換(兌換的SLP包含USDT/WETH交易對每次swap產生的收益和在第二步合約通過burn函數獲得的SLP)。而SLP/WETH代幣池是攻擊者創建的，攻擊者只需在初始化的時候添加少量的WETH，就可以在SushiMaker交易對進行兌換的過程中，用少量的WETH換取SushiMaker合約中對應交易對的所有的SLP。

跨資產投資應用Front完成550萬美元種子輪融資，Streamlined VC等領投:6月9日消息，跨資產類別投資應用 Front 宣布完成額外550萬美元種子輪融資，Streamlined VC、WndrCo、Rembrandt VC、B3 Capital、CapitalX 和 Stonks 等領投，一些著名的風險投資人和天使投資人，以及 Will Smith (Dreamers VC)、B Capital Group、Plug and Play 和 Alumni Venture 等參投。截至目前，該公司的融資總金額已經超過1000萬美元。

Front 主要為經紀商和加密用戶提供跨資產類別（股票、加密貨幣、Alts、NFT 等）的投資組合和數據聚合服務，自 2021 年 8 月推出以來，其關聯資產規模已超過 6 億美元，目前已和 50 多家經紀商集成，包括 Robinhood、Coinbase、Ameritrade 和 Alpaca 等，使大多數散戶投資者可以輕松地在一個應用程序中管理自己全部投資組合。得益于本次融資，Front 將在年內與全球經紀自營商、加密貨幣交易平臺和數字資產錢包進一步整合。（美通社）[2022/6/9 23:02:52]

4、攻擊者使用burn函數在SLP/WETH交易對中燃燒掉自己的SLP1,拿到大量的SLP和小量的WETH，并繼續對其他流動性池重復該過程，持續獲利。

總結

攻擊者使用SLP和WETH創建一個新的代幣池，使用新代幣池的SLP1在SushiMaker中進行convert，使用少量的SLP將SushiMaker合約中的所有SLP轉到自己創建的代幣池中，即將對應交易對一段時間內的所有手續費收入囊中。并對其他交易對重復這個過程，持續獲利。

往期回顧

假錢換真錢，揭秘PickleFinance被黑過程

閃電貸重入攻擊，OUSD損失700萬美金技術簡析

如何使用閃電貸從0撬動百萬美元？ValueDeFi協議閃電貸攻擊簡要分析

無中生有？DeFi協議Akropolis重入攻擊簡析

Acala創世已通過慢霧科技安全審計

慢霧導航

慢霧科技官網

https://www.slowmist.com/

慢霧區官網

https://slowmist.io/

慢霧GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

幣乎

https://bihu.com/people/586104

知識星球

https://t.zsxq.com/Q3zNvvF

火星號

http://t.cn/AiRkv4Gz

鏈聞號

https://www.chainnews.com/u/958260692213.htm

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/9558993.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

幣安為何推出第三條鏈？這對BNB意味著什么？

Tags：ETHSLPUSHISHIETHFIN幣slp幣價格sushi幣什么時候出來的SHINSHU價格

比特幣交易