可避天灾，难免人祸 —— Furucombo 被黑分析

慢雾科技原创 2021-02-28 14:22 热度 228831

微信扫一扫：分享

微信里点“发现”，扫一下
二维码便可将本文分享至朋友圈

IP归属：广东

著名 DeFi 项目 Furucombo 被黑，损失超 1400 万美元。慢雾安全团队第一时间介入分析，并将攻击细节分享给大家。

攻击细节分析

本次发生问题的合约在 Furucombo 本身的代理合约当中。整个攻击流程很简单。攻击者通过设置了 Furucombo 的 AaveV2 Proxy 的逻辑地址导致后续通过 Furucombo 代理合约调用的逻辑全部转发到攻击者自己的恶意合约上，导致任意资金被盗。

但是如果事情那么简单，那么本次分析不值一提。问题远比想象的复杂得多。

如上图所示攻击者的入口在 Furucombo 的 batchExec 函数，我们先对 batchExec 函数进行分析：

以上是 Furucombo Proxy 合约的 batchExec 函数的具体实现，其中 _preProcess 和 _postProcess 合约分别是对调用前后做一些数据上的处理，不涉及具体的调用逻辑，这边可以先忽略。我们主要观察核心的 _execs 函数：

通过对 execs 代码的分析不难发现，函数的主要逻辑是对 configs 数组的数据做检查，并根据 configs 数组的数据对 data 进行一些处理。但是回顾上文中攻击者的调用数据，不难发现攻击者的调用数据中，configs 的数据是一个 0 地址：

这里有一个 trick，由于0 地址是一个 EOA 地址，所有对 EOA 地址的函数调用都会成功，但是不会返回任何结果。结合这个 trick，execs 函数中的关于 configs 数据的部分可以先暂时忽略。直接看到最后的核心 _exec 函数：

_exec 函数的逻辑也很简单，在校验了 _to 地址后，直接就将 data 转发到指定的 _to 地址上了。而通过对攻击交易的分析，我们能发现这个 _to 地址确实是官方指定的合法地址。

最后一步，便是调用 _to 地址，也就是官方指定的 AaveV2 Proxy 合约的 initialize 函数，将攻击者自己的恶意地址设置成 AaveV2 Proxy 合约的逻辑地址。通过对 Furucombo 合约的分析，可以发现整个调用流程上没有出现严重的安全点，对调用的地址也进行了白名单的检查。那么问题只能是出在了对应要调用的代理逻辑上，也就是 AaveV2 Proxy 合约。

我们直接分析 AaveV2 Proxy 合约的 initialize 函数的逻辑：

可以看到 initialize 函数是一个 public 函数，并在开头就检查了 _implementation 是否是 0 地址，如果是 0 地址，则抛出错误。这个检查的目的其实就是检查了 _implementation 是否被设置了，如果被设置了，就无法再次设置。根据这个设置，不难想出 initialize 这个函数只能调用一次。除非 AaveV2 Proxy 从来没有设置过 _implementation，否则这个调用是不会成功的。难道 Furucombo 真的没有设置过对应的 _implementation 吗？带着这样的疑问，我们检查了交易内的状态变化。如下：

可以看到，交易中改变了存储位置为 0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc 的内容，而写入的内容正是攻击者自己的恶意合约地址0x86765dde9304bea32f65330d266155c4fa0c4f04。

而0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc 这个位置，正是 _implementation 数据的存储地址。