背景信息
本次攻击涉及 Bonding 和 LBM 两种代币,用户可以通过 Bonding.buy() 用 USDC 购买 Bonding,当 Bonding 合约中的 USDC 累积超过一定阈值时会触发回购机制将 USDC 兑换成 LBM,随后向 [Bonding, LBM] pool 添加流动性。
造成本次攻击的原因是添加流动性所采用的 pool 并未提前创建(代码逻辑是第一次触发时不存在则创建),攻击者先创建了比例失衡的恶意 [Bonding, LBM] pool。然后通过闪电贷大量的 USDC 来购买 Bonding 触发回购机制,当协议将大量的 LBM 添加到 pool 中后,攻击者将手上的 Bonding 兑换成 USDC 完成获利(Bonding -> LBM -> WETH -> USDC 完成获利)。损失金额 4884 USDC。
漏洞合约:https://basescan.org/address/0xffa1ed9c565a4e635543123b29889e96bcafa184#code
Trace 分析
-
闪电贷获得 100000 USDC
-
攻击者创建了Bonding 的价格极高的 [Bonding, LBM] pool
-
攻击者通过 Bonding.buy() 用 11949 USDC 换取 1194.9 Bonding
-
触发 Bonding 的回购机制
-
用 17100 USDC 换取 332874 LBM
-
将 332874 LBM 和 0 Bonding 作为流动性添加到攻击者创建的 pool 中
-
攻击者在恶意构造的 pool 中用 0.01 Bonding 换出 332874 LBM,随后按照 Bonding -> LBM -> WETH -> USDC 这个路径获得 16833 USDC
-
归还闪电贷 100000 USDC,获利 4884 USDC。
代码分析
Bonding 和 LBM 组成一个双代币协议,LBM 作为 Bonding 的 feeToken。本次漏洞产生的原因主要在 Bonding 代币中。攻击者通过购入大量的 Bonding 代币触发回购机制。
https://vscode.blockscan.com/8453/0x8D2Eb55F429aC689134ee547C74720BC41219F39
在 _finalizeSale() 函数中,首先将 USDC 换成 LBM
随后检查需要添加流动性的 [Bonding, LBM] pool ,通过注释可以看出,项目方是故意先不部署池子的,等到实际触发回购机制的时候再创建,这就给了攻击者可乘之机。
由于攻击者已经创建好了 [Bonding, LBM] pool ,所以这里 pool 地址为非零地址。最终使得协议按照攻击者设置的 LBM 价格极高的比例向 pool 添加流动性,攻击者可以用极少的 Bonding 套取大量的 LBM,转而出售成 USDC 完成获利。
