CertiK：Osmosis漏洞被利用 500万美元损失事件分析

北京时间2022年6月7日，CertiK审计团队监测到Osmosis漏洞被利用，导致了约500万美元的资产受到损失。

此次事件起因于函数MaximalExactRatioJoin中存在的代码漏洞。

该函数由CalJoinPoolShares调用，根据输入的代币数量计算份额。函数MaximalExactRatioJoin的漏洞导致一旦用户通过JoinPool提供流动性，CalJoinPoolShares就会向用户提供远大于其原本应给的LP份额。

推特公告链接:?

https://twitter.com/osmosiszone/status/1534470729797976064

攻击步骤

BNB Chain核心团队掌控的清算白名单钱包资金已达6000万枚USDT:金色财经报道，SlowMist发表推文称，在去年10月7日的Binance Smart Chain Bridge Hack事件中，黑客攻击获利200万BNB。黑客随后使用约92万枚BNB作为抵押，从VenusProtocol获得约1.52亿美元，包括1.16亿的USDT和3600万的USDC。 随着BNB的价格变化，黑客在VenusProtocol抵押的约92万枚BNB或将被清算，平均清算价格约为220USDT。然而，由于去年11月的提案， VenusProtocol授予BNB Chain核心团队作为BSC Bridge Hack黑客抵押资金的唯一清算人，这意味着达到清算价格这一清算事件也将被避免。 最初，为了保障VenusProtocol不受任何潜在的短缺影响，BNB Chain核心团队掌控的清算白名单钱包的资金是30,000,000USDT，但现在这个钱包的资金已经达到60,000,000USDT。VenusProtocol的清算白名单机制主要通过addToAllowlist函数运作。这种方法将清算的特权仅限制在allowedLiquidatorsByAccount映射中所列的清算人身上。因此，只有被授权的清算人可以参与清算借款人的过程。[2023/6/14 21:36:33]

该次攻击中有多人恶意进行多笔交易，以下分析以攻击者①中两个被利用的交易为例。

区块链资金管理平台Kilde完成111.5万美元种子轮融资，Algorand基金会等参投:金色财经报道，新加坡私募债务平台Kilde完成111.5万美元种子轮融资，BigSkyCapital、BorderlessCapital、AXLventures、Algorand基金会和Angel等参投，所筹资金将用于扩大运营规模并扩大市场范围，并开发一个基于区块链的资金管理系统SafeBay。

据悉，SafeBay旨在帮助区块链公司管理短期金融资产，并提供符合行业法规的链上全方位信贷产品，目前SafeBay已与Algorand基金会达成合作，计划于今年三季度推出。[2023/6/6 21:18:45]

①攻击者调用JoinPool()将29.95USDC和26.03OSMO的流动性添加至GAMM池，铸成的LP份额为8.79GAMM-678。

韩媒：37家韩国上市公司共持有超3亿美元加密货币:12月28日消息，截至今年6月底，韩国上市公司通过海外子公司发行的加密货币共计9种，37家韩国上市公司收购并持有的102种加密资产价值4047亿韩元（约合3亿美元）。对此，韩国金融监管局计划强制披露与虚拟资产相关的有用信息，并为其建立新的依据，但NFT和央行数字货币（CBDC）不属于公开披露的虚拟资产。

该国金融监管局今日为此与韩国会计标准院和韩国经济研究院共同主办了“虚拟资产会计、审计和监督问题研讨会”。与会人员表示，虚拟资产已成为重要的投资工具，但应用现行会计准则存在局限性，信息披露的需求正在逐渐增加。

此前11月16日消息，韩国金融监管局将推出加密审计指南，将迫使公司披露加密货币发行和代币销售。[2022/12/28 22:12:55]

②之后，攻击者从678池中调用ExitPool()，使用之前的份额移除流动性。

USDC Treasury将133,511,563枚USDC转入Coinbase:金色财经报道，据Whale Alert数据显示，USDC Treasury铸造133,511,563枚USDC（价值约133,551,616美元）。随后将铸造的USDC全部转入了Coinbase。[2022/12/27 22:09:16]

③由于对剩余代币的份额计算错误，攻击者能够提取约为存款金额1.5倍的代币。

④攻击者多次重复以上攻击步骤，以获取更大的利润。

漏洞分析

此次事件漏洞的根本原因在于对剩余代币的份额计算错误。

一旦用户在x/gamm/keeper/msg_server.go中通过Msg.JoinPool信息调用函数JoinPool。

巴西经纪商巨头 XP Inc 计划明年推出加密交易所:金色财经消息，巴西经纪商巨头XP Inc计划明年在其平台上推出加密货币交易所，预计将在今年年底前推出数字账户。7月底，据路透社报道，XP Inc预计将于8月份向客户开放其数字资产交易平台，最初会支持比特币和以太坊，今年年底之前会持续进行扩展。（Neofeed）[2022/8/27 12:52:22]

该函数即会调用x/gamm/keeper/pool_service.go第95行的函数JoinPoolNoSwap()。

在函数JoinPoolNoSwap()中，通过调用函数getMaximalNoSwapLPAmount()在第192行计算出shareOutAmount的所需流动资金后，函数JoinPoolNoSwap()将在osmosis/x/gamm/pool-models/balancer/amm.go第286行调用pool.JoinPool()。

然后函数pool.JoinPool()将在第252行调用函数pool.CalcJoinPoolShares()，并且在执行pool.CalcJoinPoolShares()时在第283行调用cfmm_common.MaximalExactRatioJoin()。

函数cfmm_common.MaximalExactRatioJoin()将在添加流动性时计算usedAmount，它将份额比例与用户投入的代币数量相乘。

然而，所需的流动资金应该等于minShareRatio*池中的总流动资金。通常情况下，总流动性大于一个用户存入的代币，也就是usedAmount小于预期。这里需要注意的是返回值remCoins记录了流动性增加后的剩余代币。usedAmount比预期的要小，因此导致remCoins的值比预期的要大。

在执行函数cfmm_common.MaximalExactRatioJoin()后，这些剩余的代币remCoins将通过调用函数pool.calSingleAssetJoin()在第300-310行被用来向资金池添加更多的流动性。然而，由于remCoins的数量比预期的要大，所以提供给用户的份额将比预期的多。

资产去向

Osmosis已官放宣布发现该漏洞，并正在进行修复。被盗资金与CEX账户有关，并已通知执法部门。Osmosis还宣布，利用Osmosis漏洞的四个人已经被确认，其中两人将归还资金；另外两人Osmosis正在进行联系，等待进一步沟通。

Osmosis表明，所有损失都将得到弥补。这些资金将来自其战略储备，而不是社区的资金池。另外被盗的资金将大概率被追回。

漏洞交易

该次攻击中有多人恶意进行多笔交易，我们以其中一人的一次交易作为示例：

攻击者①：https://www.mintscan.io/osmosis/account/osmo1hq8tlgq0kqz9e56532zghdhz7g8gtjymdltqer

相关的漏洞交易?

JoinPool

https://www.mintscan.io/osmosis/txs/573EFD7828573B06FF6C13DFEDC3B2FFC281D4F78854D9B9F676528490C3396B

ExitPool

https://www.mintscan.io/osmosis/txs/E789B8FF7A42F27A0AC352C5C1281EA27996B6F22C5B24478A9B85C5919DE637

攻击者②：

https://www.mintscan.io/osmosis/account/osmo1tg70tuzekpd376dpqr68yx5a7r709w6x8jtxha

相关的漏洞交易?

JoinPool

https://www.mintscan.io/osmosis/txs/380A10103F53296A1CE663FDA5CF79DA904E0EC175C866C5FDFB106A934C64BD

ExitPool

https://www.mintscan.io/osmosis/txs/D70852934B81194DA6C776F2DA90AF095A19F7018894350E19A369FF5A1EC810

写在最后

如果文件x/gamm/pool-models/internal/cfmm_common/lp.go在审计范围内，可通过审计发现这一风险因素。

CertiK在此提醒大家，除了审计之外，新增的代码也需要在上线前及时进行相应测试。

来源：金色财经

标签：OINPOOLPOOJOINkucoinpro跟库币是一回事吗LPOOLPoochainJOINT

Gate交易所热门资讯