MEM:[BlockSec DeFi攻击分析系列之四] 表里不一：Sanshu Inu的Memestake合约遭袭事件分析_MEMEIRA

去中心化金融(DeFi)作为区块链生态当红项目形态，其安全尤为重要。从去年至今，发生了几十起安全事件。

BlockSec作为长期关注DeFi安全的研究团队(https://blocksecteam.com)，独立发现了多起DeFi安全事件，研究成果发布在顶级安全会议中（包括USENIXSecurity,CCS和Blackhat)。在接下来的一段时间里，我们将系统性分析DeFi安全事件，剖析安全事件背后的根本原因

0xffffffff.前言

北京时间2021年07月21日03:40，我们的攻击检测系统检测到某个交易异常。通过对该交易进行扩展分析，我们发现这是一起利用通缩代币KEANU的机制对SanshuInu部署的Memestake合约的奖励计算机制的漏洞进行攻击的事件，攻击者最后获利ETH约56个。下面详细分析如下：

阅读建议：

如果您刚刚接触DeFi(Ethereum)，可以从头看器，但是文章比较长，看不下去记得点个关注再走。

如果您对Akropolis等DeFi聚合器项目比较了解，可以直接从「0x2攻击分析」开始。

0x0.背景介绍

今年以来爆火的狗狗币、柴犬币引发了广泛的关注，同时带火了其他相关的meme币，更引发了大量的项目方开发自己的meme币及围绕meme币提供服务，其中SanshuInu就是其中一员。SanshuInu不仅发行meme币SANSHU，还创建了合约Memestake作为meme币的耕种池。用户只要往Memestake中质押meme币，就可以获得代币Mfund作为奖励。

ApeCoin社区关于“向以太坊社区捐赠100万美元”的提案已获投票通过:4月20日消息，Snapshot投票页面显示，ApeCoin社区关于“向以太坊社区捐赠100万美元”的AIP-230提案已获投票通过。该提案拟向ETHGlobal捐赠30万美元，向11场ApeCoin黑客松和至少5项公益活动赞助70万美元，旨在响应V神曾与2022年呼吁Ape资助公共商品的号召。

该提案投票的最终支持率为46.21%，反对率为29.96%，弃权率为23.84%。在ApeCoin投票机制中，弃权不影响表决结果。[2023/4/20 14:15:25]

另一方面，大量的meme币都是通缩代币，即该种代币的发行量会逐渐减少。其中部分meme币的通缩实现形式是在用户每次进行交易转账的时候扣取一定比例的币用于销毁和再分配，这将导致接收方实际收到的token数量小于支出方实际支付的数量。本次涉及的通缩代币KEANU就是采用这种实现。

该攻击的大致原理就是通过控制Memestake进行KEANU的多次转入转出减少其持有的KEANU数量，从而利用其奖励计算函数的漏洞致使Memestake给攻击者发送大量Mfund。

0x1.代码分析

为了便于理解，我们首先简要地介绍一下和此次攻击相关的两个实体合约：KEANU代币的KeanuInu合约和Memestake合约。

KeanuInu合约

正如前面所说，KeanuInu在实现代币KEANU的转账时，会扣取一定比例的币用于销毁和再分配，其中用于销毁的比例设置为定值——2%。如图，在调用KeanuInu的transfer()及transferFrom()函数的时候，函数调用中显示的转账数量跟emit的事件log中记录的数量并不一致。

OKEx发布关于账户结构优化的公告:11月23日，OKEx发布关于账户结构优化的公告。公告显示，为了提升使用体验，即将对OKEx账户结构进行优化，原“法币账户”将并入“资金账户”，未来可以直接使用资金账户参与法币交易。该优化预计将于2020年11月24日10:00 -12:00 (HKT) 进行。详情如下：

1. 原“法币账户”将并入“资金账户”，法币交易将通过资金账户出售数字资产，购买的数字资产也会直接进入资金账户。

2. 现有法币交易订单还将保留，不受本次升级影响。

3. 原“法币账户”的余额，系统将自动为您转入“资金账户”。

4. 升级完成后，资金划转将不再支持转至\"法币账户\"。

升级期间，可以正常访问OKEx网站和使用APP，资金与交易不受影响。 如升级时间有变动，我们将第一时间发布公告通知。[2020/11/23 21:47:53]

其由于其实际代码实现调用较为复杂，此处不再展示，感兴趣的朋友可以根据后面附录给出的合约地址在etherscan.io自行查看合约实现。另外，上面两张截图来源于我们自行开发的交易解析工具，目前开放公测中。欢迎各位点击?http://tx.blocksecteam.com:8080/?试用。我们的工具将函数调用与过程中产生事件log结合展示的方式，对于分析通缩代币等问题更有帮助。

Memestake合约

下图是MemeStake的deposit函数。函数首先调用updatePool更新资金池状态，然后将用户的token转账给自己。当传入的_amount大于0时会在代码的1295行进行转账。

然而，由于KEANUtoken的通缩特性，虽然调用safeTransferFrom函数时传入的金额是_amount，但是实际上转入资金池的金额小于_amount。并且在代码分析中我们注意到，transfer的目的地是自己，也就是说对于MemeStake来说，所有用户的某个币种的存款都属于MemeStake。

动态 | 美国注册会计师协会发布关于加密货币审计的指导意见:美国注册会计师协会（American Institute of CPAs）数字资产工作组发布了一份实践指南，就如何计算和审计比特币等数字资产和其他形式的加密货币提供了指导意见。随着加密货币市场的迅速发展，工作组计划在明年年初向该文件添加更多内容。AICPA的新兴保险技术主管Diana Krupica在本月早些时候的一份声明中称：“随着主题的最终确定，这个非权威的指南将定期更新额外的内容，并发布到aicpa.org上。”（AccountingToday）[2019/12/31]

在转账后的1296行，MemeStake会对用户的存款进行登记，但这里登记采用的仍然是_amount，因此用户真正的存款量比登记的user.amount更小。

最后在1299行，可以看出user.rewardDebt参数也是根据user.amount来计算的。

下图是MemeStake的withdraw函数。该函数首先会检查user.amount是否还有足够的余额，但由于user.amount本身比真实值大，因此这里的检查是不准确的。接下来，同样会调用updatePool函数更新资金池状态。

在1321行，withdraw函数会先扣除在user.amount中登记的余额，然后调用transfer函数把token转回用户。和deposit函数一样，这里的逻辑同样存在问题，由于每次转账都会造成通缩，因此转给用户的数量会小于实际的转账量。

最后来看MemeStake的updatePool函数。首先从1255行可以看出，每次调用会记录上一次更新的blockNumber，如果此次调用的区块和上次更新时相同，则会直接返回，也就是说?updatePool对每个区块只会更新一次资金池状态。

灰度BTC信托增持1087.86枚，LTC持仓增长4.85%:据数据显示，美东时间1月21日，灰度信托持仓数据变化如下：

灰度BTC信托持仓量增加1087.86枚（+0.17%），总持仓量为642611.65 BTC；

灰度BCH信托持仓量增加2145.3枚（+0.85%），总持仓量为253858.99 BCH；

灰度LTC信托持仓量增加56808.26枚（+4.85%），总持仓量为1228916.77 LTC；

灰度ETH、ETC信托当日未增持。[2021/1/22 16:45:12]

接下来在1259行，会获取MemeStake自身在token合约中的余额。最后在1275行，会利用这个余额作为分母，计算该资金池每一次deposit和withdraw的奖励。计算方式如下：

pool.accMfundPerShare=mFundReward/token.balanceOf(MemeStake)

回到withdraw，我们来看存取款奖励代币Mfund是怎样转账的。首先在上图withdraw函数的第1325行，计算用户是否有pending的Mfundtoken没有发放，计算公式为：

rewardMfund=user.amont*pool.accMfundPerShare/1e18-user.rewardDebt。

而rewardDebt是这样计算的：

user.rewardDebt=user.amount*pool.accMfundPerShare/1e18

因此，从代码中我们不难构造出一种可能的攻击：

分析 | BTC合约多空持仓人数比为1.87 永续合约资金费率升至0.094%:截至2月6日10:30，根据OKEx交易大数据显示，BTC合约多空持仓人数比为1.87，季度合约基差320.30美元，永续合约基差6.0美元，永续合约资金费率0.094%；BTC合约持仓总量9,815,736张，24h交易量27,315,416张；主动买入量445,012张，主动卖出量437,917张；精英账户做多账户比42%，多头持仓比16.79%，做空账户比56%，空头持仓比28.22%。BTC现货数据方面，杠杆多空比为15.55，币币主动买入量77.87 BTC，币币主动卖出量65.39 BTC，USDT场外溢价率为101.28%。

分析师表示，BTC合约多空持仓人数比为1.87，市场做多人数继续保持攀升，季度合约基差超过300美元，永续合约资金费率较大幅度上升，持仓总量再次逼近千万张，市场对后市信心显示相对强势状态；主动交易活跃度较高，行情异动风险仍然存在；BTC合约精英持仓方面，做空账户比与空头持仓比均占据一定优势，需关注短线回调风险。[2020/2/6]

首先，在一个交易内，通过反复调用deposit和withdraw函数，榨干MemeStake的资金池。这个操作利用了三个代码问题：

首先，user.amount的记账比真实值多，因此每次withdraw都可以成功。

第二，MemeStake中所有用户的资金都在一个池子中，因此每一笔转账实际上Burn掉的是池子中其他用户存入的KEANUtoken。

第三，由于updatePool在同一个块中不会进行状态更新，因此不会影响pool.accMfundPerShare参数，也不会产生Mfundtoken的reward。

接下来，在下一个区块时，直接调用withdraw函数。

通过对updatePool函数的分析可知，此时会产生池子状态的更新，且由于前一步操作榨干了MemeStake的资金池，token.balanceOf(MemeStake)极低，产生了巨大的pool.accMfundPerShare。

随后在withdraw函数的第1315行，计算出的Mfundreward量非常大，导致巨额的Mfund回报。

0x2.攻击分析

前面介绍了漏洞成因及漏洞的利用方式，我们接下来介绍攻击者实际是如何进行攻击的。

如图所示，攻击可以分为4步，其中关键攻击步骤为第2步，利用通缩代币的特性操纵Memestake的奖励计算。

第1步，首先攻击者创建了两个合约并进行初始化，其中?合约一?为表现正常的投资合约，攻击者通过合约一往Memestake存入约2,049B?KEANU?，为步骤3获利大量MFUND奖励做好铺垫。合约二?为操纵Memestake的奖励计算的合约，先进行了相关token的approve操作。

第2步，攻击者先从uniswapV2中flashloan大量的KEANU代币，然后通过合约二往Memestake中多次deposit和withdraw大量KEANU，导致Memestake被迫大量交易KEANU。由于KEANU是一种通缩代币，每次交易会烧掉2%的交易额，导致用户真正存入Memestake的量比登记的user.amount更小，取出时又是按照user.amount转给用户，导致Memestake池子中KEANU的代币持有量不断减少，最终为1e-07。如下图所示，涉及交易为?0x00ed，交易截图未完全，请自行点击链接查看。

第3步，攻击者首先通过合约二调用了Memestake.updatePool()函数，修改了KEANU所在池子的accMfundPerShare，由于该值依赖于池子所持有的KEANU的代币量，而这在第二步中被操纵了。这使得合约二在接下来withdraw的时候可以获得远超正常值的?Mfund这种token作为奖励。第3步发生于交易?0xa945?中，同时攻击者开始将部分获得的MFund换成WETH等代币。

第4步，攻击者将获得的MFund、KEANU等代币换成ETH，并通过?Tornado.Cash?转移走，至此攻击结束，攻击者从中获利ETH55.9484578158357个，约10万美元。

下图为攻击地址?0x0333?的交易截图，交易截图未完全，请点击地址链接查看详情。

攻击相关

有趣的是，攻击的第2、3步都与flashbots交易有关。

其中第2步涉及的交易?0x00ed?由于采用了UniswapV2flashloan，且交易前后相当于用约38ETH去购买了KEANU，由此产生了很大的套利空间。因此该笔交易受到另一名攻击者的三明治攻击，即本事件的攻击者也是另一个三明治事件的受害者。该三明治攻击者获利3.2769697165652474ETH，但是给了矿工2.405295771958891249ETH，净获利0.8716739446063562ETH。

而第3步攻击涉及的交易?0xa945?则由于在uniswap池子中大量售出MFund，创造了套利空间，所以被back-running而成为flashbots交易。该searcher获利0.13858054192600666ETH，其中交给矿工0.099085087477094764ETH，净获利0.03949545444891189ETH。

有关flashbots和三明治攻击的详细介绍可参阅我们的另一篇攻击介绍?由xSNXa被攻击事件引发的对FlashBot的思考?。由于UniswapV2中将flashloan的实现与普通的Swap结合在一起，具体的实现原理及为什么由此导致第2步存在套利空间可以参阅我们的paper?TowardsAFirstSteptoUnderstandFlashLoanandItsApplicationsinDeFiEcosystem(SBC2021).

0x3.总结及安全建议

攻击者利用通缩代币的特性控制了平台持有代币的数量，影响了奖励代币的计算发放，由此获利ETH55.9484578158357个。而这原因在于，SanshuInu平台在引入通缩代币时缺乏一定的安全考量，导致攻击者有空可趁。

由此，我们给有关项目方的安全建议有：

对项目引入的代币应当有足够的认识，或者通过建立白名单的机制对交互的token进行限制。近两年来，已经有多起安全事件与未加限制的token或者交互的token有问题有关，如最近的BSC链上的ImpossibleFinance事件，我们这个系列上一篇Akropolis攻击事件，2020-11-17的OriginDollar事件及2020-06-28的Balancer事件等。特别是与通缩代币的交互，如在该事件发生不久后，PeckShield也报告了一起发生在polygon链上同样利用通缩代币及奖励计算漏洞的安全事件——PolyYeld事件。

项目上线前，需要找有资质的安全公司进行安全审计。我们可以看到，由于defi的moneylego属性，很多defi项目之间可以随意组合，从而产生了互相影响，而这正是defi领域安全事件频发的原因。因此，项目方所需关注的安全问题不仅仅局限于自己项目，也同样需要考虑在与其他项目交互过程中存在的安全漏洞。

BlockSec团队以核心安全技术驱动，长期关注DeFi安全、数字货币反和基于隐私计算的数字资产存管，为DApp项目方提供合约安全和数字资产安全服务。团队发表20多篇顶级安全学术论文(CCS,USENIXSecurity,S&P)，合伙人获得AMiner全球最具影响力的安全和隐私学者称号(2011-2020排名全球第六).研究成果获得中央电视台、新华社和海外媒体的报道。独立发现数十个DeFi安全漏洞和威胁，获得2019年美国美国国立卫生研究院隐私计算比赛(SGX赛道)全球第一名。团队以技术驱动，秉持开放共赢理念，与社区伙伴携手共建安全DeFi生态。

https://www.blocksecteam.com/

标签：MEMKEAUNDKENMEMEIRAKEA价格Pundi X NEMBoboo Token

Coinw热门资讯