前言
據官方推文訊息,2021 年 6 月 16 日,以太坊專案 alchemix 的 aleth 合約疑似出現安全問題,使用者借貸 aleth 後並沒有待償還債務,知道創宇區塊鏈安全實驗室 第一時間跟進該事件分析。
簡要分析
據官方釋出的報告,指出的問題原因在於 aleth vault 合約的部署指令碼問題意外建立了額外的 vault,而在 vault 陣列中使用了錯誤的索引,從而導致獎勵計算錯誤,將資金全部傳送以償還使用者債務。
從官方給出的 tx 中的線索可以發現,alchemix 部署者最後呼叫了三次 harvest 函式獲取收益。
且 3 次呼叫傳入的均是索引為 0 的 vault。
而在更早些時間,transmutereth 合約被多次呼叫 setactivevault 函式,導致 vault 陣列中存在多個索引。
而_plantorrecallexcessfunds 函式中又採用了 vault 陣列中最後更新的來作為有效 vault 使用。
於是就如官方所說,意外建立了額外的 vault,又使用了錯誤的索引,最終導致獎勵計算錯誤,將 transmuter 的資金全部傳送以償還使用者債務。
總結
總的來說,這次出現的問題是由於專案方一個接一個的小失誤釀造成的大問題。目前專案方已表示使用者資金沒有受到損失,團隊將部署新的 transmuter 和新的 alchemix vault,並呼籲使用者把獲得的多餘 eth 分配給新的 transmuter 以允許它支援未償還貸款,同時為使系統恢復償付能力,alchemix 也計劃了一系列措施。
知道創宇區塊鏈安全實驗室官網:www.knownseclab.com
知道創宇唯一指定存證平臺:www.attest.im
聯絡我們:[email protected]
知道創宇區塊鏈安全實驗室導航
微信公眾號
@ 創宇區塊鏈安全實驗室
微博
@ 知道創宇區塊鏈實驗室
https://weibo.com/blockchainlab
知乎
@ 知道創宇區塊鏈安全實驗室
https://www.zhihu.com/org/zhi-dao-chuang-yu-qu-kuai-lian-an-quan-shi-yan-shi
twitter
@ks_blockchain_
https://twitter.com/ks_blockchain