Làm cách nào để hack SushiSwap thông qua sản phẩm không đổi? Phân tích ngắn gọn về việc SushiSwap bị tấn công lần thứ hai

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

Làm cách nào để hack SushiSwap thông qua sản phẩm không đổi? Phân tích ngắn gọn về việc SushiSwap bị tấn công lần thứ hai

慢雾科技

2021-01-27 09:58

本文约1933字，阅读全文需要约8分钟

SushiSwap lại bị tấn công Lần này, vấn đề là phí giao dịch của cặp giao dịch DIGG-WBTC đã bị kẻ tấn công đánh cắp thông qua các phương tiện đặc biệt.

lý lịch

tiêu đề phụ

SushiMaker là gì?

tiêu đề phụ

Nói về sản phẩm không đổi

Công thức của tích hằng số rất đơn giản, không tính phí xử lý nên công thức của tích hằng số là

Nói cách khác, mỗi trao đổi thực sự tuân theo công thức này và giá trị K không thay đổi trước và sau khi giao dịch, trong quá trình trao đổi, vì giá trị K phải được giữ nguyên, nên dạng của công thức sẽ như thế này

Trong đó X là số token đã bán, Y là số token cần mua, khi đó số lượng token đổi được mỗi lần sẽ như thế này (quy trình rút tiền cụ thể mình sẽ không trình bày :D)

quá trình tấn công

Vào ngày 30 tháng 11 năm 2020, SushiSwap đã bị tấn công do sự cố SushiMaker (để biết chi tiết, xem:Phân tích ngắn gọn về vụ tấn công Sushi Swap từ góc nhìn nhỏ), cuộc tấn công này tương tự như cuộc tấn công đầu tiên, nhưng quy trình thì khác. So với hợp đồng cũ, trong hợp đồng mới, phí dịch vụ sẽ tìm lộ trình trao đổi cụ thể cho các mã thông báo trong các cặp giao dịch khác nhau thông qua chức năng bridgeFor trong quá trình trao đổi, sau đó thực hiện trao đổi.

Trong số đó, logic của hàm bridgeFor như sau:

Theo logic của bridgeFor, không khó để nhận thấy rằng nếu cầu của một loại tiền tệ cụ thể chưa được đặt thủ công, thì cầu mặc định là WETH, nghĩa là nếu cầu không được đặt, thì mặc định là đổi phí xử lý thành WETH. Và đồng xu DIGG vừa xảy ra không đặt cầu nối tương ứng thông qua setBridge.

Nhưng có một vấn đề khác ở đây, đó là trong quá trình hoán đổi, nếu cặp giao dịch không tồn tại, quá trình trao đổi sẽ thất bại. Trong cuộc tấn công này, cặp giao dịch DIGG-WETH không tồn tại lúc đầu, vì vậy kẻ tấn công đã tạo trước một cặp giao dịch DIGG-WETH, sau đó thêm một lượng nhỏ thanh khoản. Nếu có chuyển đổi phí giao dịch tại thời điểm này, theo đặc điểm của sản phẩm không đổi được đề cập ở trên, do tính thanh khoản thấp của DIGG-WETH, nghĩa là giới hạn trên của WETH trong DIGG-WETH là rất nhỏ và số lượng phí giao dịch được chuyển đổi trong SushiMaker là tương đối nhỏ. Lớn hơn, một trao đổi như vậy sẽ dẫn đến trượt giá lớn. Quá trình chuyển đổi sẽ tăng giá WETH thành DIGG trong cặp giao dịch DIGG-WETH và tất cả thu nhập từ phí DIGG của DIGG-WETH sẽ được chuyển đến giao dịch DIGG-WETH. Bằng cách quan sát tính thanh khoản của cặp giao dịch DIGG-WETH, khi thanh khoản lớn nhất, chỉ có ít hơn 2.800 đô la Mỹ thanh khoản.Kết quả này cũng có thể được kiểm chứng lẫn nhau với công thức.

tóm tắt

Cuộc tấn công này tương tự như cuộc tấn công đầu tiên của SushiSwap, đó là tạo ra lợi nhuận bằng cách thao túng giá trao đổi của các cặp giao dịch. Nhưng quá trình này là khác nhau. Cuộc tấn công đầu tiên là do kẻ tấn công đã tạo một cặp giao dịch mới bằng chính mã thông báo LP và các mã thông báo khác, đồng thời thao túng giá của cặp giao dịch mới này bằng cách thao túng thanh khoản ban đầu để kiếm lợi nhuận. đối với WETH, nhưng kẻ tấn công đã tạo cặp giao dịch này và thao túng giá giao dịch ban đầu, dẫn đến sự trượt giá lớn trong quá trình trao đổi phí. Kẻ tấn công chỉ cần sử dụng một lượng nhỏ DIGG và WETH Có thể thu được lợi nhuận khổng lồ bằng cách cung cấp thanh khoản ban đầu .

Liên kết tham khảo liên quan như sau:

Giao dịch thu phí SushiMaker:

https://etherscan.io/tx/0x0af5a6d2d8b49f68dcfd4599a0e767450e76e08a5aeba9b3d534a604d308e60b

Chi tiết thanh khoản DIGG-WETH:

https://www.sushiswap.fi/pair/0xf41e354eb138b328d56957b36b7f814826708724

Giải thích chi tiết về việc Sushi bị tấn công lần đầu tiên:

https://mp.weixin.qq.com/s/-Vp9bPSqxE0yw2hk_yogFw