2024 年 8 月 28 日, Aave的一個外圍合約被利用,導致不同鏈的損失達 56,000 美元。黑客針對的是ParaSwapRepayAdapter合約,這是Aave平臺的一個外圍組件。該合約允許用戶通過去中心化交易所ParaSwap交換現有抵押品來償還借入的頭寸。該合約不直接持有用戶資金,它只包含這些交換中剩餘的代幣,因此不會影響用戶資金。
概述
攻擊者: https ://etherscan.io/address/0x6ea83f23795F55434C38bA67FCc428aec0C296DC
易受攻擊的合約: https ://etherscan.io/address/0x02e7b8511831b1b02d9018215a0f8f500ea5c6b3
交易攻擊: https ://etherscan.io/tx/0xc27c3ec61c61309c9af35af062a834e0d6914f9352113617400577c0f2b0e9de
漏洞分析
_buyOnParaSwap函數中的漏洞存在多個問題。它根據maxAmountToSwap的數量批准assetToSwapFrom代幣,但在paraswapData 中對不同的數量進行任意調用。因此,攻擊者可以製作一個較小的交換數據,但maxAmountToSwap非常高,這將在交換後為tokenTransferProxy留下非常高的餘量。
然後,攻擊者利用assetToSwapFrom剩餘的代幣限額為tokenTransferProxy從合約中提取代幣。
經驗教訓
此外,強烈建議進行安全審計,不僅針對第一個發佈版本,還針對將來添加的任何新功能。由於升級過程可能會引發各種問題,因此也應進行徹底審計。