事件背景
零時科技區塊鍊安全情報平台監控到消息,中原標準時間2023年2月2日,polygon鍊上去中心化借貸協定BONQ受到黑客攻擊,攻擊者獲得了1.13億個WALTB和9865萬個BEUR,攻擊者位址為0xcAcf2D28B2A5309e099f0C6e8C60Ec3dDf656642,攻擊者将部分BEUR售出獲得USDC通過跨鍊轉移至ETH鍊。零時科技安全團隊及時對此安全事件進行分析。
漏洞及核心
TellorFlex中可通過調用submitValue函數進行更改代币價格,當使用者質押的TRB代币大于stakeAmount時可獲得修改代币價格權限。
stakeAmount初始值在構造函數中傳入,後續可通過調用updateStakeAmount修改,從鍊上資訊可知,updateStakeAmount函數未被調用,是以攻擊者可通過質押初始值獲得修改代币價格,從攻擊交易中可得值為10TRB。
攻擊者調用BONQ合約中的createTrove函數建立trove合約,trove合約中抵押價格計算方法是預言機中抵押品Token價格除以借款數量。
此合約中使用的預言機為TellorFlex合約,此前攻擊者已經将ALBT代币價格修改到相當高,是以攻擊者可以使用較小的WALBT借出大量BEUR。
從攻擊交易中可以看出,攻擊者使用0.1WALBT借出1億個BEUR.
資金來源及流向
- 資金來源
此位址初始資金在ETH鍊上由Tornado.Cash混币平台轉入
- 資金流向
1. 攻擊者将部分BEUR兌換為 534,535 USDC,通過跨鍊轉移至ETH鍊,之後兌換為DAI,目前資金暫無進一步移動
2. 攻擊者目前共抛售1600萬ALBT,獲得約785ETH,目前資金仍存在ETH鍊上攻擊者位址中。
總結及建議
本次攻擊由于TellorFlex預言機報價修改時所需要的抵押物價值較小,且BONQ借貸合約中抵押物借貸數量隻與TellorFlex預言機價格有關,是以攻擊者可以使用較低的成本修改預言機報價後進行抵押借貸獲得相當可觀的利潤。
♦安全建議
- 建議項目方增加多種喂價機制,避免預言機受到控制時由于單一喂價遭受損失。
- 建議項目方上線前進行多次審計,避免出現審計步驟缺失