千里之堤溃于蚁穴:Alchemix 事件简析

创宇区块链安全实验室
创宇区块链安全实验室 机构得得号

Jun 21, 2021 专注构建区块链安全生态,致力于让人类进入安全的区块链世界。

摘要: 由于项目方一个接一个的小失误,以太坊项目 Alchemix 的 alETH 合约疑似出现安全问题,用户借贷 alETH 后并没有待偿还债务。

前言

据官方推文消息,2021 年 6 月 16 日,以太坊项目 Alchemix 的 alETH 合约疑似出现安全问题,用户借贷 alETH 后并没有待偿还债务,知道创宇区块链安全实验室 第一时间跟进该事件分析。

简要分析

据官方发布的报告,指出的问题原因在于 alETH Vault 合约的部署脚本问题意外创建了额外的 Vault,而在 Vault 数组中使用了错误的索引,从而导致奖励计算错误,将资金全部发送以偿还用户债务。

从官方给出的 tx 中的线索可以发现,Alchemix 部署者最后调用了三次 harvest 函数获取收益。

且 3 次调用传入的均是索引为 0 的 Vault。

而在更早些时间,TransmuterEth 合约被多次调用 setActiveVault 函数,导致 Vault 数组中存在多个索引。

而_plantOrRecallExcessFunds 函数中又采用了 Vault 数组中最后更新的来作为有效 Vault 使用。

于是就如官方所说,意外创建了额外的 Vault,又使用了错误的索引,最终导致奖励计算错误,将 Transmuter 的资金全部发送以偿还用户债务。

总结

总的来说,这次出现的问题是由于项目方一个接一个的小失误酿造成的大问题。目前项目方已表示用户资金没有受到损失,团队将部署新的 Transmuter 和新的 Alchemix Vault,并呼吁用户把获得的多余 ETH 分配给新的 Transmuter 以允许它支持未偿还贷款,同时为使系统恢复偿付能力,Alchemix 也计划了一系列措施。

作者:创宇区块链安全实验室;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请联系微信:chaindd123

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 创宇区块链安全实验室 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信