2024 年 8 月 28 日, Aave的一个外围合约被利用,导致不同链的损失达 56,000 美元。黑客针对的是ParaSwapRepayAdapter合约,这是Aave平台的一个外围组件。该合约允许用户通过去中心化交易所ParaSwap交换现有抵押品来偿还借入的头寸。该合约不直接持有用户资金,它只包含这些交换中剩余的代币,因此不会影响用户资金。
概述
攻击者: https ://etherscan.io/address/0x6ea83f23795F55434C38bA67FCc428aec0C296DC
易受攻击的合约: https ://etherscan.io/address/0x02e7b8511831b1b02d9018215a0f8f500ea5c6b3
交易攻击: https ://etherscan.io/tx/0xc27c3ec61c61309c9af35af062a834e0d6914f9352113617400577c0f2b0e9de
漏洞分析
_buyOnParaSwap函数中的漏洞存在多个问题。它根据maxAmountToSwap的数量批准assetToSwapFrom代币,但在paraswapData 中对不同的数量进行任意调用。因此,攻击者可以制作一个较小的交换数据,但maxAmountToSwap非常高,这将在交换后为tokenTransferProxy留下非常高的余量。
然后,攻击者利用assetToSwapFrom剩余的代币限额为tokenTransferProxy从合约中提取代币。
经验教训
此外,强烈建议进行安全审计,不仅针对第一个发布版本,还针对将来添加的任何新功能。由于升级过程可能会引发各种问题,因此也应进行彻底审计。