2021-07-30 09:01

Polygon上收益聚合项目PolyYeld Finance被攻击事件分析

北京时间7月28日,收益聚合器PolyYeld.Finance遭到攻击,其代币 YELD 归零,攻击者获利 25 万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、事件分析

攻击者地址:

0x56ec01726b15b83c25e8c1db465c3b7f1d094756(作为被推荐者)

0x1bdf24cb4c7395bf6260ebb7788c1cbf127e14c7(作为推荐者)

从交易详情可以看出攻击者获取的奖励费用异常。

lpSupply值被操纵为1,导致1300行计算错误。

根本原因在于当前合约的LP Token的余额不是所有用户质押的LP Tokn总额,其中还包含攻击者向当前合约转入的LP Token金额,这导致了lpSuppy被操纵为1的情况,造成了错误的判断和计算。

详细函数分析

攻击者事先给16号池(_pid = 16,在调用updatePool函数的图中)转入1 LP Token

攻击者合约0x56ec01726b15b83c25e8c1db465c3b7f1d094756调用balanceOf函数查询lpSupply的值为1(为攻击做准备)

调用updatePool函数

调用balanceOf函数查询lpSupply的值

此时由于lpSupply的值为1,判断条件不符,继续执行函数代码

调用getMultiplier函数获取差值

YeldPerBlock值为10000000000000000,allocPoint值为2000,totalAllocPoint值为29000。但下一步中将计算奖励的百分之十铸币给项目方,并未从给用户的奖励中扣除,这将导致通胀。

将铸造给项目方和当前合约地址的Token数量添加到totalSupply

此时YeldReward值为25517241379310344,乘上1e18,再除lpSupply的值1。

执行结束后,accYeldPerShare的值为25517241379310346060896017401670445

返回user.amount的值为249792662487644753291986140279580

计算完成后调用withdraw提取奖励,函数内调用payReferralCommission函数铸造通过上面计算得到的token数量。

事件分析总结,该项目存在多个问题:

(1)项目方收取百分之十的收益时直接铸币并未从用户收益中扣除,导致通胀。

(2)调用Masterchef合约实现推荐机制,即推荐者永久享受被推荐者收益的百分之二,但这百分之二并未从被推荐者收益中扣除。

(3)正常情况下,合约计算收益的逻辑没有错误,lpSupply应该为合约中的总Token数,但攻击者通过操作,使得lpSupply为1,手动执行一次updatePool函数,使其计算出来的参数错误,再使用另外一攻击合约的地址(被推荐者)正常质押提取,使得推荐者获得超出其本身应该获得的收益。


本文链接:https://www.8btc.com/media/6691218
转载请注明文章出处

评论
登录 账号发表你的看法,还没有账号?立即免费 注册
下载
阅读
分享
评论
点赞
上一篇
下一篇