神经桥安全事件分析

0x.1 前言

2021年11月15日，我们的内部监控系统在BSC上发现了可疑的闪电贷交易。调查后，我们发现这是一起针对Nerve Bridge的攻击，包括fUSDT和UST的MetaPools。

截至本文撰写时，攻击者已耗尽Nerve质押池中fUSDT和UST的流动性，并获利900 BNB。

令人惊讶的是，我们发现易受攻击的代码是fork自Saddle.Finance，后者已经在2021年11月6日导致Synapse Bridge损失了8亿美元。具体来说，该漏洞的根本原因在于不同库中计算代币兑换金额实现的不一致。

然而，目前不存在任何公开的报告来分析此次安全事件。因此，本文旨在提供一个全面的分析，包括项目机制、漏洞和攻击。

0x2. 背景

0x2.1 什么是MetaPool？

基本上，Curve提供了两种类型的稳定币兑换池，即标准稳定币兑换池（Standard StableSwap Pool）和MetaPool。前者是一个完全的AMM，用于在不同稳定币之间创建跨市场交易 [1]。它是最广泛使用的池类型，例如Curve.3pool，它由DAI、USDC和USDT组成。然而，这种池无法隔离稳定币之间的风险，可能导致LP提供者遭受巨大损失。

因此，提出了MetaPool来解决这个问题。正如Curve所述 [2]，“它允许单一货币与另一个（基础）池中的所有货币进行兑换，而不会稀释其流动性”。它本质上是在稳定币和标准稳定币兑换池（由其他几种稳定币组成）的LP代币之间的兑换池。在我们的上下文中，我们将这两种类型的稳定币分别称为“池稳定币”和“底层稳定币”。

例如，此次事件的受害者之一是fUSDT与Nerve.3pool的LP代币（包括BUSD、USD和USDC）的MetaPool，该池的结构本质上是[fUSDT, LP代币(BUSD, USD, USDC)]。因此，fUSDT是池稳定币，而BUSD、USD和USDC是底层稳定币。

0x2.2 易受攻击代码的来源

Curve的MetaPool是用Vyper实现的。为了支持Solidity的开发，Saddle.Finance的开发团队用Solidity重写了代码。作为这个漏洞的最初来源，它已被 Synapse 和 Nerve 分别fork并采用。11月6日，Synapse遭受了攻击。

MetaPool中约有820万美元的资金被提取，但由于攻击者“愚蠢”的错误，并没有实际损失资金 [3]。

在此之后，Saddle.Finance采取了紧急行动，通过暂停所有MetaPool合约来确保其资金安全。然而，Nerve Bridge并未采取任何行动，这不可避免地导致了此次安全事件。

0x3. 漏洞分析

在MetaPool中，有两个重要函数，即swap和swapUnderlying。具体来说，前者用于兑换LP代币和池稳定币，后者用于兑换池稳定币和底层稳定币。

swapUnderlying: _calculateSwapUnderlying 函数

然而，这两个函数实现不一致。如上两图所示。红框内的代码片段用于通过衡量LP代币的“虚拟价格”来调整LP代币的价值（随着更多费用收入而从基准值1增加）。而swap函数忽略了虚拟价格的影响，这意味着LP代币的价值会被低估。换句话说，可以兑换出更多的LP代币。

因此，通过首先用相应的LP代币收回底层稳定币的流动性，然后调用swapUnderlying函数兑换池稳定币，就有可能获得更多的池稳定币。

0x4. 攻击分析

我们将以示例交易为例来说明攻击过程。

图6显示攻击者采取了以下五个步骤来发动攻击：

步骤1：通过Fortube的闪电贷借入50,000 BUSD。
步骤2：从Ellipsis兑换50,000 BUSD为50,351 fUSDT。
步骤3：调用MetaSwap的swap函数，以较大的滑点将50,351 fUSDT兑换为36,959 Nerve 3-LP。
步骤4：调用Nerve.3pool的removeLiquidityOneCoin函数，使用（上一步收到的）LP代币移除BUSD流动性，即37,071 BUSD。
步骤5：调用MetaSwap的swapUnderlying函数，将BUSD兑换为fUSDT，收到51,494 fUSDT。

攻击者重复执行上述五个步骤（约200+笔交易）来耗尽MetaPool的流动性，最终获利900 BNB。

有趣的是，攻击者仅仅采用了与Synapse事件相同的攻击方式，这并非实现目标的优化方法。此外，还可以通过更有效的方式发动攻击，例如应用优化参数一次性耗尽流动性。结果表明，攻击者可能并未完全理解此漏洞的根本原因。