2022年10月27日,據歐科雲鏈鏈上衛士安全團隊監測,ETH鏈上的Team Finance項目遭受黑客攻擊,事故原因除攻擊中的合約漏洞外,Uniswap V3的遷移合約實施不嚴謹或是造成損失的主因之一。
編輯|小O
分析|鏈上衛士團隊
10月27日,成立於2020年的Team Finance在官方Twitter發聲,該協議管理資金在由Uniswap v2遷移至v3的過程中遭到黑客攻擊,損失達1450萬美元。
在事件發生後的第一時間,歐科雲鏈鏈上衛士團隊憑藉超200TB的鏈上數據量儲備,快速對黑客地址進行數據追蹤、手法解析,並及時通過官方渠道反饋Team Finance分析結果,避免鏈上損失態勢進一步擴大。
Team Finance安全事件復盤
據悉,此次攻擊最早發生於2022年10月27日 07:22:35,黑客通過創建攻擊合約並創建一個攻擊token,隨後通過執行攻擊合約進行lockToken調用,並於08:29:23執行合約並發起攻擊交易。
據鏈上衛士安全團隊分析,此次受到攻擊的項目方 Uniswap V2 池子有CAW(1150萬美元 )、TSUKA(170萬美元)、KNDX(70萬美元)、FEG(190萬美元)。
依託於區塊鏈鏈上數據可溯源、不可篡改的特性,鏈上衛士團隊將鏈上追蹤結果以圖表的方式展現,通過黑客資金流向圖,用戶可清晰地了解黑客盜取資金後的動態。
Team Finance黑客手法復盤
#Step1:
攻擊者通過Team Finance的Proxy合約輸入攻擊參數:
準備盜取資金的對象:即需要遷移的幣對 FEG-WETH
而取回的幣對卻是黑客創建的無價值的token0: 0x2d4abfdcd1385951df4317f9f3463fb11b9a31df 和 有價值的token1: WETH
兩者的不一致,是導致該合約被攻擊的根本原因!
在這一步中,黑客首先通過lockToken鎖倉攻擊token,lockedToken變量會記錄鎖倉詳細信息,其中關鍵欄位為withdrawAddress,該欄位存在可以滿足後續migrate的權限判斷。
#Step2:
由於上述LP和輸入參數的token不匹配,且 noLiquidity 參數為 true,所以會在 Uniswap V3 中創建一個 token0 和 WETH 的流動性池。
#Step3:
Uniswap V3調用v3Migrator.migrate方法,遷移FEG-WETH流動性對。
在這一步中,Uniswap V3 Migrator合約在接收到Team Finance中傳入的參數,會遷移 Uniswap V2的LP,燃燒LP,獲取底層資產$FEG和$WETH,根據轉換參數只有1%進入V3 pool,其餘99%退還給發送合約,Team Finance將返回到token(601個ETH)發送給攻擊合約。
黑客調用 Team Finance 得合約進行LP遷移,利用 Step 1 中準備好的withdrawAddress和msgSender吻合,通過權限檢查。
由於Team Finance的遷移邏輯沒有檢驗交易id與migrate params的相關關係,黑客通過上面校驗後,真正遷移的是黑客輸入的params參數。
該參數指定的migrate為與黑客鎖倉token無任何關係的FEG-WETH交易對,且遷移數量為 Team Finance 持有的全部LP(FEG-WETH),但參數指定只migrate 1%。
#Step4:
此外,相同手法對其它3個流動性池進行了攻擊:
Team Finance事件總結
截至發稿前,黑客已返還涉事的四種Token以及$ETH和USDC到相關項目方,共計約1340萬美元。
此次攻擊事件,漏洞的本質原因是對輸入參數的校驗邏輯有問題。黑客通過鎖倉毫無價值的token,獲取了調用migrate接口的權限。進一步調用Uniswap V3的migrate的參數,完全由黑客輸入,導致可以從其合約內遷移其他LP資產,結合Uniswap V3的migrate處理是首先燃燒所有LP資產,再按照輸入的percentage進行遷移,並返還剩餘資產,使得黑客可以通過只遷移1%資產,從而竊取剩餘99%的資產。
總而言之鏈上安全無小事,歐科雲鏈再次提醒:重要函數的參數校驗要仔細。建議在項目上線前,選擇類似鏈上衛士的專業安全審計團隊進行全方位審計篩查,最大化規避項目上線後的安全風險。