背景信息
- Alert:https://x.com/TenArmorAlert/status/1968223320693686423
- TX:https://app.blocksec.com/explorer/tx/bsc/0xf92539acf7eadfd4a98925927a52af5349cb13c2a250908373a5baf8ea4b49ad
Trace 分析
发生攻击的位置在闪电贷的 callback 函数里面,执行完闪电贷后攻击合约将获利的 BUSD 换成 BNB 进行转移。
进入到闪电贷的 callback 函数里面,首先进行了一系列的授权,然后就是每 4 个 call 操作为一组,进行了多次重复的操作。
- Swap:用 5000000 BUSD → 19432567 WET
- 0x6a154c56:用 322 WET 换出 2234 WUSD
- Swap:用 19432234 WET → 4999040 BUSD
- 0xa6ff54ad:用 2234 WUSD 换出 223800 WET
从上面这组操作可以看出,1 和 3 是对等的操作,2 和 4 是不对等的操作。在操作 2 中用 322 WET 换出来的 2234 WUSD 在操作 4 中居然可以换回 223800 WET,这里面产生了获利空间。
代码分析
接下来就是继续跟进 0x0A4085F8a587af76936Ac6368DFc161e5C875882 合约,查看 0x6a154c56 和 0xa6ff54ad 两个函数的具体实现逻辑,但是很可惜合约代码并没有开源。
那只能上反编译了。
反编译代码:https://app.dedaub.com/binance/address/0x0a4085f8a587af76936ac6368dfc161e5c875882/decompiled
0x6a154c56 & 0xa6ff54ad
根据 0x6a154c56 函数的反汇编代码大致可以推断出它的功能:
- 从 msg.sender 处收取 varg0 数量的 WET
- 通过 0x235f 函数,根据 varg0 计算得到 v2
- 向 msg.sender 发送 v2 数量的 WUSD
继续跟进 0x235f 函数
说实话,很抽象。
可以看出,在 0x235f 函数中通过 _uniswapV2Router.getAmountsOut() 函数来获取对应的 AmountOut 数量。结合在 Trace 分析环节中提到的攻击过程中对 WET 和 BUSD 的币价进行了操控的信息,可以推断出 AmountOut 数量对应的代币是 BUSD 。
也就是说当攻击合约调用 0x6a154c56 函数进行兑换时,会根据已经被操控的 WET, BUSD 价格将 WET 兑换成 BUSD。
同样,快速过一下 0xa6ff54ad 函数,它的实现就是 0x6a154c56 函数的镜像操作
- 从 msg.sender 处收取 varg0 数量的 WUSD
- 通过 0xbb9 函数,调用 _uniswapV2Router.getAmountsOut() 根据 WET, BUSD 的价格计算 v2
- 向 msg.sender 发送 v2 数量的 WET
Rootcause 总结
总的来说,本次攻击事件的 rootcause 就是 0x0A40 合约提供了 WET, WUSD 互相兑换的功能,而兑换的比例是通过获取当前 WET, BUSD 的价格来决定的。攻击者通过闪电贷获得的大量资金操控 WET, BUSD 的价格,从而在 WET 价格高时通过 0x0A40 合约把 WET 换成 WUSD,然后在 WET 价格低时把 WUSD 换成 WET,从而套取超额的 WET 。兑换成 BUSD 归还闪电贷后,再兑换成 BNB 进行资金转移。