2023年7月1日,一名攻击者利用Binance智能链(BSC)上的Biswap V3Migrator合约的一个漏洞,从毫无戒心的用户那里窃取了价值约14万美元的代币。攻击者使用了假代币攻击,来操纵迁移函数的参数,并从授权了他们流动性提供者(LP)代币给V3Migrator合约的用户那里吸走流动性。之所以能够实施这种攻击,是因为V3Migrator合约在从Biswap V2迁移到Biswap V3时没有验证参数。倘若该攻击在当时未被及时阻止,将为Biswap带来近千万美元的资产损失。
交易
攻击者执行了三笔交易来进行攻击:https://bscscan.com//tx/0xe13ec0941580d3c286b46fa6566f20195bdd52b3d65fc7ff4a953a8fc774c6c4
https://bscscan.com//tx/0xe5c89e9ac217e4e16c2399f3597f7b5fbb73b45c1d3360788ee51ea2561def3a
https://bscscan.com//tx/0x8693a95f8481ba02ceaabed8e95b4e1eb8ac589c69c027c96b12ac5295714c3f
攻击者
攻击者的地址是[0xa1e31b29f94296fc85fac8739511360f279b1976]
攻击合约
攻击合约是[0x1d448e9661c5abfc732ea81330c6439b0aa449b5]这个合约是在2023年6月30日,也就是攻击前一天由攻击者部署的。该合约有一个简单的逻辑,就是用不同的参数调用V3Migrator合约。
被攻击合约
被攻击合约是[0x839b0afd0a0528ea184448e890cbaaffd99c1dbf]这是Biswap于2023年6月28日部署的V3Migrator合约。该合约旨在帮助用户将他们的LP代币从Biswap V2迁移到Biswap V3。
攻击步骤
攻击者利用了V3Migrator合约中的一个缺陷,使他们能够篡改迁移函数的参数,攻击步骤如下:
- 受害者授权了LP代币给Biswap V3Migrator合约;
- 攻击者烧毁了受害者的V2 LP代币,并用假代币添加了V3流动性。在这一步,V2 LP的
token0token1 - 攻击者烧毁了假的V2 LP代币,并用V2 LP的
token0token1token0token1
根本原因
造成攻击的根本原因是Biswap的V3Migrator合约在从Biswap V2迁移到Biswap V3时没有验证参数。具体来说,合约中有一个重要问题:
- 合约没有验证
token0token1
这些问题使得攻击者能够向迁移函数传递假代币和数量,并从授权了LP代币给V3Migrator合约的用户那里窃取真实代币。
Key Code
受损资产
攻击者[0xa1e31b29f94296fc85fac8739511360f279b1976] 非法获取了高达14万美元的资产
资金流向
攻击者撤走流动性用以换取$BNB
最终,攻击者将603个$BNB 转入Tornadocash进行了洗钱操作
PoC
安全建议
强烈建议用户取消Biswap V3Migrator的授权:https://bscscan.com/tokenapprovalchecker
结论
Biswap的攻击事件是一个典型的例子,假代币攻击充分利用BSC上的DEX漏洞收割用户和项目方的资金。该攻击也突显了验证处理用户资金的合约的参数和余额的重要性,用户在授权代币给第三方合约时也应该小心谨慎,并在使用之前检查合约的源代码和审计报告。作为Web3头部安全公司,MetaTrust Labs在7月1日首先发现了这次攻击并在Twitter上向Biswap发送警报。Biswap也采纳了MetaTrust Labs提出的2个应对策略:
- 尽快要求用户撤销对V3Migrator合约的授权,这样攻击者就无法再访问他们的LP代币;
- 删除他们自己发布的推广V3迁移并告知用户迁移LP代币收益的推文
如果这次攻击没有及时制止,Biswap的所有迁移合约都将遭受数千万美元的损失,因为攻击者可以用假代币将所有流动性从Biswap V2迁移到Biswap V3,这对Biswap及其用户来说将是一个毁灭性的打击,也是BSC上DEX发展的一个严重挫折。
Follow Us
Twitter: @MetaTrustLabs
Website: metatrust.io
所有评论