前言
北京时间 11 月 7 日,知道创宇区块链安全实验室 监测到跨链协议 Synapse Protocol 推出的资产跨链桥被攻击,攻击者设法降低了 nUSD Metapool 虚拟价格并从中获利约 800 万美元。
知道创宇区块链安全实验室 第一时间对本次事件深入跟踪并进行分析。
分析
攻击事件如下图所示,该次攻击事件的问题点并不在 Synapse 跨链桥本身,而是在 Saddle 开发的 Metapool 合约上。
在具体分析攻击事件之前,我们先来介绍一下什么是 Metapool。Curve 开发的 stableswap 实现中有两类池子,分别是 Standard stableswap pools 和 Metapools。
Standard stableswap pools:包括了多个基础资产(资产 A、B、C),它们在一个小范围内彼此相互定价。
Metapools:实现了相同的 stableswap 不变量,但将资产 D 与资产 A、B、C 的 LP 代币进行定价时会导致池的理想平衡权重变为资产 D 的 50% 以及 资产 A、B、C 的各 16.66%,这既隔离了资产 D 的风险,又允许基础池用于额外的 Metapools,这种池子虽然很好,但实现起来也会更加的复杂。
基础信息
攻击者:
0x3ab92d06f5f2a33d8f45f836607f8da68cab81e8
攻击 tx:0xe2f66358873553990911c15d2bbe8ffea72ddba86dfa64e32cde7ae998f09f350x415d4ad8c6237b6d110fc0ea66f0d1b4a3f13ac196ac5b708b037c07c83d69f2
漏洞合约:
https://github.com/saddle-finance/saddle-contract/blob/master/contracts/meta/MetaSwapUtils.so
流程
1、首先攻击者通过 Firebird Router 在 Metaswap.sol 上调用 swap() 函数和 removeLiquidityOneToken() 函数,先将 nUSD 兑换成 nUSD-LP 代币,再移除 nUSD-LP 获取 USDC。
2、攻击者通过 MetaswapDeposit 合约中的 addLiquidity() 函数用 USDC 添加流动性换取 nUSD-LP。
3、攻击者通过 MetaswapDeposit 合约中的 removeLiquidityOneToken() 函数用 nUSD-LP 移除流动性换取 nUSD,然后依次循环,不断套利。
细节
在 Metapool 中当用户可以直接用资产 D 去兑换 A、B 或 C,但在兑换到 A、B、C 的 LP 代币时,需要计算 LP 代码基本虚拟价格,而 Saddle Metaswap 合约中忽略计算 LP 代币基本虚拟价格的检查,详情代码见Metaswap 合约的第 424 行。
因为增加流动性和从池中移除一个代币实际上和兑换是相同的,所以与此对应的是 MetaSwapUtils 合约的第 277 行,276 行代码是在判断代币是否为 LP 代币,在检查到兑换的是 LP 代币时就进行 LP 代币基本虚拟价格的计算。
由于检查的忽略允许了攻击者 0x3ab92d06f5f2a33d8f45f836607f8da68cab81e8 进行不断的循环交易,上面提到的攻击流程是最后一次循环交易,从而使得 nUSD-LP 代币数量增加,降低了 Metapool 虚拟价格并从 nUSD-LP 中兑换走更多的 nUSD 代币。
在事件发生后官方更新了跨链桥受攻击事件进展,由于官方一直在线且反应迅速,没有给黑客跨链转移资金的机会,官方将不会处理黑客的交易,损失的 Synapse nUSD 也将全额返回给受影响的流动性提供者们。
截止目前,Synapse Protocol 网络已经恢复正常活动并处理完了之前积压的交易,针对此次事件官方将 Stableswap 合约代替 Metapool 合约成为为新的 nUSD 资金池,以保证安全性,而未受影响的流动性提供者将需要解除抵押并从旧资金池中提取流动性以方便后续正常操作。
总结
Synapse 跨链桥遭遇的攻击的核心原因在于外部的 AMM 计算合约 Metapool 中未对 LP 代币基本虚拟价格计算的检查,使得攻击者通过循环交易降低 Metapool 虚拟价格并从 LP 中抽走资金,从而获取约 800 万美元的 nUSD 资产。
