HackerDao攻击分析+复现

jusonalien
更新于 2022-05-26 11:44
阅读 2735

攻击者利用token合约自身的转账手续费的漏洞，结合dex的skim函数构造出dex LP的价格差，进而产生套利空间，将dex LP里面的WBNB给套走，最终实现170+BNB的利润

原文地址：[https://jusonalien.github.io/hackerdaogong-ji-fen-xi.html](https://jusonalien.github.io/hackerdaogong-ji-fen-xi-fu-xian.html)

### 攻击相关交易事件

- [0x04673c95054247588bb8380dbc7d361f08f8f0baa319366f48ad46e51d08422d](https://versatile.blocksecteam.com/tx/bsc/0x04673c95054247588bb8380dbc7d361f08f8f0baa319366f48ad46e51d08422d)

### 攻击合约地址

- [0x24cb6980995aeb7d5a9204e04b17dcd1e99a4694](https://bscscan.com/address/0x24cb6980995aeb7d5a9204e04b17dcd1e99a4694)

### 复现攻击代码

- [HackerDaoPoc](https://github.com/jusonalien/DefiAttackPocBox/blob/main/contracts/HackerDaoPoc.sol)

### 攻击过程分析

- 1、攻击者从DODO闪电贷借出250个WBNB
- 2、用借来的WBNB在 HackerDao-WBNB的LP里面兑换出90%的HackerDao
- 3、将获得的HackerDao打到HackerDao-WBNB这个LP里面
- 4、对HackerDao-WBNB这个LP发起Skim，将刚刚打进去的HackerDao Skim到HackerDao-USDT这组池子里面

HackerDao的token在[transfer](https://bscscan.com/address/0x94e06c77b02Ade8341489Ab9A23451F68c13eC1C#code#L491)的过程中会针对接收方地址做一个白名单检查，如果白名单是USDT-HackerDao的LP地址的话，就会做一个收取手续费的操作,

![hackerdaotransfer.jpg](https://img.learnblockchain.cn/attachments/2022/05/AjSWkulc628ef75beb8cf.jpg)

而这个LP白名单的生成是在合约的[构造函数](https://bscscan.com/address/0x94e06c77b02Ade8341489Ab9A23451F68c13eC1C#code#L423)里面就生成了的,这个设计也是造成此次漏洞的直接原因
![hackerdaoconstructor.jpg](https://img.learnblockchain.cn/attachments/2022/05/JRlN6v7V628ef765aa8af.jpg)

- 5、Skim的过程中，会因为触发上述手续费的逻辑导致LP里面的HakcerDao减少，然后做一次sync，导致HackerDao-WBNB的价格**被拉高**
- 6、将HackerDao-USDT里面的token再skim到攻击地址里面
- 7、将攻击地址上的HackerDao全部套现兑换成WBNB，中间获得利差

原文地址：https://jusonalien.github.io/hackerdaogong-ji-fen-xi.html