细节分析:DeFi 平台Cream Finance 再遭攻击,1.3 亿美金被盗

巴比特_慢雾科技
2021-10-28 17:40

By:Kong@ 慢雾安全团队

据慢雾区消息,2021 年 10 月 27 日,Cream Finance 再次遭受攻击,损失约 1.3 亿美金,慢雾安全团队第一时间介入分析,并将简要分析分享如下。

 

攻击核心

 

本次攻击的核心在于利用 Cream 借贷池对抵押物价格获取的缺陷,恶意操控拉高了其抵押物的价格,使得攻击者可以从 Cream 借贷池借出更多的代币。

攻击细节

首先攻击者从 DssFlash 中闪电贷借出 5 亿个 DAI,随后将借出的 5 亿个 DAI 抵押至 yearn 的 yDAI 池中,以获得约 4.5 亿个 yDAI 凭证。

随后攻击者将获得的 yDAI 代币在 Curve 的 yDAI/yUSDC/yUSDT/yTUSD 池子中进行单币流动性添加,以获得相应的流动性凭证。紧接着攻击者就将获得的凭证抵押到 yUSD 池子中以获得 yUSD 凭证,为后续在 Cream crYUSD 借贷池中抵押做准备。

之后攻击者开始向 Cream 的 crYUSD 借贷池中抵押其获得 yUSD 凭证,为了扩大其抵押规模,攻击者从 AAVE 闪电贷借出约 52.4 万个 WETH,并将其抵押到 Cream 的 crETH 池子中。

攻击者通过在 crETH 池子中抵押大量 ETH,来使得其有足够的借贷能力将 crYUSD 池子中的 yUSD 全部借出并重复抵押到 crYUSD 池子中,随后通过在 crYUSD 池子中进行循环贷以杠杆的形式扩大了本身在 crYUSD 池子中 yUSD 的抵押规模,为后续操控价格获利做准备。

随后为了获得 yDAI/yUSDC/yUSDT/yTUSD 4Pool 凭证以操控价格,攻击者用约 1,873 个 ETH 从 Uniswap V3 中兑换出约 745 万个 USDC,并通过 Curve 3Pool 将其兑换成 DUSD 代币约 338 万 个。

接下来攻击者通过获得的 DUSD 代币从 YVaultPeak 中赎回 yDAI/yUSDC/yUSDT/yTUSD 4Pool 凭证,并利用此凭证从 yUSD 池子中取回 yDAI/yUSDC/yUSDT/yTUSD 代币。

随后攻击者开始进行此次攻击的 关键操作 ,其将约 843 万个 yDAI/yUSDC/yUSDT/yTUSD 代币直接转回 yUSD 池子中,由于其不是通过正常抵押操作进行抵押的,所以这 843 万个 yDAI/yUSDC/yUSDT/yTUSD 代币并没有被单独记账,而是直接分散给了 yDAI/yUSDC/yUSDT/yTUSD 凭证的持有者,这相当于直接拉高了其 share 的价格。

在 crToken 中由于其抵押物价格被恶意拉高了,因此攻击者抵押的大量 yUSD 可以使其借出更多的资金,最后攻击者将 Cream 的其他 15 个池子全部借空。接下来我们跟进 Cream 的 crToken 借贷池中具体借贷逻辑。

从 cToken 合约中我们可以看到,主要借贷检查在 borrowAllowed 函数中:

我们跟进 borrowAllowed 函数,可以看到在 427 行,其会根据 getHypotheticalAccountLiquidityInternal 函数检查实时状态下的该账户所对应的所有 cToken 的资产价值总和和借贷的资产价值总和,并通过对比 cToken 的资产价值和借贷的 Token 价值和,来判断用户是否还可以继续借贷。

我们跟进 getHypotheticalAccountLiquidityInternal 函数,可以发现对于抵押物的价值获取来自 886 行的 oracle.getUnderlyingPrice。

我们跟进预言机的 getUnderlyingPrice 函数,可以容易的发现其将通过代币 150 行的 getYvTokenPrice 函数进行价格获取。

继续跟进 getYvTokenPrice 函数,由于 yvTokenInfo.version 为 V2,因此将通过 yVault 的 pricePerShare 函数进行价格获取。

跟进 pricePerShare 可以发现其直接返回了_shareValue 作为价格,而_shareValue 是通过_totalAssets 除合约的总 share 数量 (self.totalSupply) 来计算单个 share 的价格的。因此攻击者只需要操控_totalAssets 将其拉高就可以提高单个 share 的价格从而使得攻击者的抵押物价值变高以借出更多的其他代币。

我们可以查看下_totalAssets 是如何获取的,从 772 行我们可以很清晰的看到,_totalAssets 是直接取的当前合约的 yDAI/yUSDC/yUSDT/yTUSD 代币数量,以及抵押在策略池中的资产数额相加获得的。因此攻击者通过直接往 yUSD 合约中转入 yDAI/yUSDC/yUSDT/yTUSD 代币就可以拉高 share 价格从而完成获利。

通过 Ethtx.info 可以清晰的看到 pricePerShare 前后变化:

最后攻击者在借空其他池子后归还了闪电贷获利离场。

 

总结

 

本次攻击是典型的利用闪电贷进行价格操控,由于 Cream 的借贷池在获取 yUSD 池子 share 价格时直接使用了其 pricePerShare 接口,而此接口是通过合约的抵押物余额与策略池抵押资产数额相加除总 share 数来计算单个 share 的价格的。因此用户直接往 yUSD 转入抵押物就可以很容易的拉高单个 share 价格,最终使得 Cream 借贷池中抵押物可以借出更多的资金。

附:前两次 Cream Finance 被黑分析回顾

慢雾:Cream Finance 被黑简要分析

免责声明:本文版权归原作者所有,不代表MyToken观点和立场;如有关于内容、版权等问题,请与我们联系。

Cream 被盗 1.3 亿美金始末:利用借贷池缺陷,恶意操控价格

火星财经_慢雾科技
2021-10-28 17:40
本次攻击的核心在于利用 Cream 借贷池对抵押物价格获取的缺陷,恶意操控拉高了其抵押物的价格,使得攻击者可以从 Cream 借贷池借出更多的代币。
应用内查看全文

美国加密货币新战场:从华尔街走向华盛顿

巴比特_链新
2021-10-28 17:31
一个三方构成的新格局逐步形成。...
应用内查看全文

迪士尼将通过 VeVe 推出 NFT 数字收藏品

陀螺财经_大章鱼哥
2021-10-28 17:25
VeVe 宣布迪士尼将与其合作推出旗下角色的 NFT 藏品,作为流媒体视频频道 Disney+ 促销活动的一部分。
应用内查看全文

MyToken实用锦囊

MyToken
2021-10-28 16:48
应用内查看全文

探索 Altair 升级对以太坊及 ETH 资产的影响

火星财经_比推Bitpush News
2021-10-28 16:38
Altair 升级的目标是使以太坊更具可扩展性、环境更友好和也更加安全,同时在这个过程中使以太坊和它的支持者受益。
应用内查看全文

“华尔街之狼”原型购买Punk、迪士尼将推出NFT数字藏品

火星财经_Cointelegraph中文
2021-10-28 16:38
“华尔街之狼”原型Jordan Belfort发誓他“不会离开”NFT领域,《经济学人》通过NFT拍卖为慈善机构筹集了42.2万美元,而WWE也将发行NFT。
应用内查看全文

「实景沉浸」遇上「元宇宙」,未来主题公园还能怎么玩儿?

猎云财经
2021-10-28 16:29
近日,2021锦绣中华“摸金之旅”开幕式成功举办。历时90多天创意打磨、30多天的NPC专业培训,深圳锦绣中华开启5万平方米实景沉浸式新场景。
应用内查看全文

观点 | 为什么说比特币的打浦路(Taproot)比你想的宽

巴比特_橙皮书
2021-10-28 16:25
学习比特币(尤其是 Taproot)的过程会告诉读者,什么才是真正的 “密码学货币”...
应用内查看全文

火链科技携手龙游飞鸡 用区块链构建农业现代化数字基础设施

中国财经
2021-10-28 16:09
当清晨第一缕阳光透过树叶的缝隙,群山环抱之间响起了清脆的鸡鸣声。在浙江衢州市龙游县,运送鸡苗的车早早就到了,龙游飞鸡创始人胡瀞文也一早赶来,今天不仅要分配鸡苗,还要给每一只养殖鸡带上独一无二的脚牌。胡...
应用内查看全文

金色观察 | FTX帝国大扩张 2022年收购资金或超10亿美元

金色- Maxwell
2021-10-28 16:05
年仅28岁的SBF在财富大膨胀,其旗下的加密货币衍生品交易所巨头FTX也在大肆扩张。...
应用内查看全文

区块链在智慧城市中的发展现状、案例分析和未来展望

猎云财经
2021-10-28 15:25
城市的发展离不开基础设施的建设,新基建浪潮下,区块链与5G、人工智能、工业互联网、物联网等技术互为助力,推进建设产城融合的智慧城市。在未来,区块链仍将与其他技术进一步深度结合寻求突破,推动智慧城市加速度向前。
应用内查看全文

了解什么是EVM等效性,它如何成为Layer2的通用标准

巴比特_凯尔
2021-10-28 15:19
EVM等效性如何成为L2的下一个通用标准。...
应用内查看全文

每日行情解读 | Meme币表现强势,市场投机热情或已至临界点

星球日报_二十三画生
2021-10-28 15:02
BTC巨鲸地址数出现减持,GBTC溢价率再度下滑。
应用内查看全文

深度探索以太坊:Altair,​合并与升华

陀螺财经_比推BitpushNews
2021-10-28 14:48
这可能是迄今为止最大的以太坊升级。
应用内查看全文

趣味漫画科普 | 元宇宙到底是个啥?

巴比特_区块链资讯
2021-10-28 14:38
元宇宙到底什么时候能真正到来?...
应用内查看全文

深入探究告诉你:为什么说下一个超级周期将会是DeFi与NFT

火星财经_NFTTuesday
2021-10-28 13:39
随着加密货币生态系统继续发展成为基于法定货币系统之上的应用和互动层,我们真的刚刚开始。
应用内查看全文

了解去中心化杠杆代币:以Phoenix Finance为例

金色-去中心化金融社区
2021-10-28 12:55
杠杆代币是一种衍生品,为持有者提供了对加密资产的稳定杠杆敞口。代币持有者不需要担心主动管理杠杆头寸、借款或清算。...
应用内查看全文

数字商会推动稳定币监管:推动创新 摒弃误导 合理监管

金色-白泽研究院
2021-10-28 12:25
数字商会认为,稳定币具有优势所在,但“稳定币会带来系统性风险”被严重误导。...
应用内查看全文

闪电网络综述:比特币网络的L2解决方案(上)

火星财经_鸵鸟区块链
2021-10-28 11:42
构建互联网原生交易链其实是一场马拉松,而不是短跑,而我们正处于一个拐点,但也处于曲线的起点。
应用内查看全文

“DeFi监管”是自相矛盾吗? | 链茶速递

金色-链茶馆
2021-10-28 11:40
“为保DeFi正常化,与其熟视无睹,不如与监管关联。”...
应用内查看全文
点击加载更多