20250528 - Usual 攻击事件: 价差兑换与请君入瓮

背景信息

项目背景

VaultRouter 合约有用特权身份,可以通过 Usd0PP 合约将 USD0++ 以 1:1 的比例兑换成 USD0,随后通过 UniV3 将 USD0 swap 成 sUSDS,并 deposit 成 usUSDS 发送给用户。

攻击概述

在本次 Usual 攻击事件中,攻击者首先创建了恶意的 [USD0, sUSDS] 池子 ,然后利用 VaultRouter 合约的特权身份 ,将 1899838 USD0++ 以 1:1 的比例兑换成 USD0,并且在恶意池子中将 USD0 兑换为 sUSDS。随后攻击者通过移除流动性的方式获取所有的 USD0。最后通过 USD0USD0++ 市场将 1899838 USD0 兑换成 1943686 USD0++,兑换比例为 1 : 1.02,获利 43847 USD0++。

漏洞成因

  1. VaultRouter 合约可以将 USD0++ 以 1:1 的比例兑换成 USD0,与市场价 1 : 1.02 存在价差。
  2. VaultRouter 和 Augustus 合约均没有对传入的 swapData 进行检查,使得攻击者可以操控 USD0 swap sUSDS 这一步骤在全部流动性均为自己添加的、且价格失衡的恶意池子中进行。

相关链接

Alert:https://x.com/BlockSecTeam/status/1927607817378177316

攻击交易:https://app.blocksec.com/explorer/tx/eth/0x585d8be6a0b07ca2f94cfa1d7542f1a62b0d3af5fab7823cbcf69fb243f271f8

漏洞合约:

  1. VaultRouter:https://etherscan.io/address/0xe033cb1bb400c0983fa60ce62f8ecdf6a16fce09#code

    VaultRouter:https://etherscan.io/address/0xe033cb1bb400c0983fa60ce62f8ecdf6a16fce09#code

Trace 分析

Trace 概览

  1. 创建恶意的 [USD0, sUSDS] 池子,并向其添加了 10 wei 的 sUSDS
  2. 执行闪电贷
  3. 将获利资金兑换成 ETH

FlashLoan 分析

攻击者在闪电贷内执行了本次攻击,具体做了以下操作:

  1. VaultRouter.deposit()
  2. 移除 2.1 中创建的池子流动性
  3. USD0USD0++.exchange() USD0 -> USD0++
  4. USD0USD0++.exchange() USD0++ -> USD0
  5. Uniswap V3: Router.exactInput() USD0 -> ETH
  6. 归还闪电贷

VaultRouter.deposit()

  1. 首先通过 Usd0PP.unwrapWithCap() 函数将 USD0++ 按照 1:1 的比例换成 USD0
  1. VaultRouter 在攻击者创建的恶意池子中将 1899838 USD0 兑换成 5wei sUSDS
  1. 将兑换得到的 5wei sUSDS 通过 deposit() 质押成 usUSDS 并发送给攻击合约(不重要)

移除流动性

攻击者将 VaultRouter 在 2.2.1 中 swap 进去的 1899838 USD0 通过移除流动性的方式取出

exchange USD0 -> USD0++

攻击者通过 USD0USD0++.exchange() 将 1899838 USD0 兑换成 1943686 USD0++,兑换比例为 1 : 1.02,获利 43847 USD0++

exchange USD0++ -> USD0

攻击者随后又将获利部分的 43847 USD0++ 兑换成 42973 USD0

exactInput() USD0 -> ETH

42973 USD0 兑换成了 15 WETH

归还闪电贷

代码分析

Usd0PP 合约允许 VaultRouter 将 USD0++ 以 1:1 的比例兑换成 USD0

VaultRouter 没有对 augustus 使用的参数 data 进行检查和限制,这使得攻击者可以传入自己构造的恶意池子(相同币种不同费率),从而在 USD0 -> sUSDS 兑换完成后可以通过移除流动性的方法取回所有 USD0。

相关推荐
alex1009 天前
【一天一个Web3概念】Uniswap:去中心化金融(DeFi)的自动做市商革命
金融·web3·去中心化·区块链·defi·uniswap
阿菜ACai14 天前
20250918 - NGP Token 攻击事件:价格维持机制为攻击者做了嫁衣
漏洞分析
阿菜ACai16 天前
20250917 - WETToken 攻击事件:价格操控产生的套利空间
漏洞分析
阿菜ACai18 天前
Morpheus 审计报告分享3:StETH 的精度丢失转账机制
漏洞分析
阿菜ACai20 天前
Morpheus 审计报告分享2:ChianLink 数据源有着不同的“心跳”
漏洞分析
阿菜ACai24 天前
Morpheus 审计报告分享:AAVE 项目 Pool 合约地址更新导致的组合性风险
漏洞分析
墨染 殇雪1 个月前
文件上传漏洞基础及挖掘流程
网络安全·漏洞分析·漏洞挖掘·安全机制
阿菜ACai2 个月前
20250730 - AnyswapV4Router 授权漏洞: 绕过了不存在的 permit 函数
漏洞分析
阿菜ACai3 个月前
20250709 - GMX V1 攻击事件: 重入漏洞导致的总体仓位价值操纵
漏洞分析·defi
阿菜ACai3 个月前
20250620 - Bonding 攻击事件: 项目方不创建的池子由我攻击者来创建
漏洞分析