背景信息
2022 年 7 月 12 号,清晨 CZ 的推特发布讯息,称其安全团队监测到 Uniswap 出现大额丢币事件,且攻击者获利的 ETH 已流入 Tornado Cash 。经过链上数据整理和分析,能够发现这是一起攻击者利用钓鱼攻击使受害者在钓鱼环境下调用 approve 授权函数,将受害者持有 Uniswap 721 LP NFT 授权给特定账户,进而导致的攻击。该攻击造成了超过 4295 个 ETH 被窃取。
随后 Uniswap 团队回应,此次攻击为钓鱼攻击,在攻击者不掌握受害者钱包账户私钥的前提下,使用哪种办法能够使其获得受害人的资产,进而使其遭受损失呢?这与 setApprovalForAll 及 approve 函数本身存在的潜在 spend 风险,和用户对这一函数所带来的潜在风险认识不到位存在一定关系。另外也不排除钓鱼站点做的足够逼真,以至于让用户忽略了同源策略直接授权。
攻击账户信息
为确保分析的时效性,我们将选取特定账户进行分析,且仅对单个受害人进行分析,为了便于读者阅读和理解,特对相关账户进行命名:
受害账户:
0x15c853bdafc9132544a10ed222aeab1f239414fe
攻击账户(经授权具备转移受害账户 Uniswap NFT 能力的账户):
0x3CAFc86a98B77EeDcD3db0ee0aE562D7fe1897A2
洗币账户(也可以理解为攻击的实际获利账户):
0x09b5027eF3a3b7332EE90321E558baD9C4447AFA
攻击信息分析
1.攻击者诱导受害账户调用 setApprovalForAll 方法授权攻击账户的交易链接**:**
https://etherscan.io/tx/0x1f5d7e647723f542abda34e83bdeb5c8dcbae08777efc2d4aac219ae113a87d4
**通过分析发现受害账户与 Uniswap 的 LP 合约进行了交互,且调用 setApprovalForAll 方法授权自己的 NFT 给攻击账户,交易详情如下:
**
此时,攻击账户就具备了操作受害账户中 Uniswap V3 NFT 的能力(其实每一次在 Opensea 上交易 NFT 都需要调用 setApprovalForAll 方法)
2.攻击账户操作 Uniswap V3 NFT 合约将受害者账户中的 LP NFT 转移至洗币账户的交易链接:
https://etherscan.io/tx/0x8f3040fe5ab4ddfa8b984edbab863295ae3e191d23cda0b8525f5e79c8774cbc
不难发现,攻击账户在通过钓鱼获得受害账户的授权后,直接向 Uniswap V3 NFT 合约发送转移请求,即将受害账户持有的 LP NFT 转移至洗币账户,此时洗币账户将获得被盗取的 LP ,通过移除 LP 操作,即可获得 ETH 。
3.洗币账户利用 Tornado Cash 进行洗币的交易链接:
https://etherscan.io/tx/0xe902c988da5e715c932f11df56a837e4599df5c695a8fa3d96b902e9f5cfe0d6
