正文

SharkTeam独家分析 | “杠杆借贷”功能实现漏洞：Vee.Finance被黑事件分析

鸵鸟区块链2021-09-22 10:15:00

北京时间9月21日， Vee.Finance 借贷项目遭到黑客攻击，损失共计8804.7 ETH和213.93 BTC。

Vee.Finance是一个面向传统金融和加密用户的DeFi借贷平台。Vee.Finance基于Compound借贷项目，并在Compound基础上进行改造。Vee.Finance可提供高达3倍的交易借贷，用户可以买入或卖出的资产数量取决于账户中的本金和平台的杠杆率。即如果将杠杆倍数设为3x，则理论上用户可以借入本金3倍的数字资产。

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、事件分析

显然Vee.Finance不可能让用户直接拿走这笔钱，因为这样贷出的资产高于抵押资产的价值，会导致平台亏损。所以使用杠杆借贷时Vee.Finance会将用户指定的order订单转给orderProxy合约，由orderProxy合约来执行。该部分由borrowAndCall()函数实现。

再看borrowAndCall()函数中调用的borrowLeverageInternal()函数，该函数将杠杆倍数等参数返回给了borrowFresh()函数。

borrowFresh()函数中相比于Compound，增加了对leverage的判断。如果杠杆倍数leverage为0，执行正常的借贷逻辑，如果杠杆不为0，则将资金通过doDeposit()函数转移到指定位置。

但是在borrowFresh()函数中可以看到，无论杠杆倍率是多少，系统都只会记录单倍杠杆的借贷资产。也就是说，如果用户实际抵押价值100美元的Ether可以借出80美元的USDC，并通过三倍的杠杆借出240美元的USDC，但在系统记录中，用户只借出80美元的USDC。

另一个问题是，代码中在执行 杠杆借贷 时，并没有检查通过杠杆借贷抵押获取的Token A所交换的Token B的总价值是否与Token A的总价值具有同等价值，且没有持续监控这两种Token的总价值，在价值不对等的情况下及时清算或判定交易失败。

攻击者地址：0xeeeE458C3a5eaAfcFd68681D405FB55Ef80595BA

Vee.Finance遭到攻击的合约地址：0xd1F855ceF146D36CC5851E2139c54524420797f2

以第一次攻击为例

交易地址为：

https://cchain.explorer.avax.network/tx/0xc490b881f7434af48a1f39ca2d71064e93a1802b5853e3312e8800468dc83b81

攻击合约1(0x255945a4f673851633355b2592f602025ca20142)先为攻击合约2(0x4b4c4044207aa5da6b585fed9e8ffc04bb55d2df)往Vee.Finance的cToken地址（合约名称为CErc20Immutable）存入了约0.96WETH，从而使得攻击合约2可以进行抵押借贷（可以借出约0.52WETH）及调用杠杆交易。