Nuestra herramienta de análisis interno encontró un error en el contrato de Tether Gold el 5 de abril, que permite a un atacante transferir los tokens XAUt (Tether Gold) de cualquier persona a una dirección predefinida. El equipo recibió nuestro informe y dijo que habían localizado este problema internamente. Hoy encontramos que el problema ha sido corregido, y queremos compartir los detalles aquí. Además, ilustraremos cómo usar Phalcon Fork para desarrollar y depurar el PoC de esta vulnerabilidad.
0x0. La vulnerabilidad
En la función transferFrom del contrato, cualquiera puede invocar esta función para transferir los tokens de otros usuarios a un recibo de confianza definido por el propietario del token. Aunque esta vulnerabilidad no puede ser explotada directamente para transferir los tokens a la cuenta del atacante, el atacante aún puede transferir los tokens del pool para manipular el precio del token en el pool (por ejemplo, el pool WETH-XAUt) y obtener ganancias.
La corrección de esta vulnerabilidad es sencilla, como se muestra a continuación.
0x1. Cómo explotar la vulnerabilidad
Para escribir y depurar el PoC, podemos usar Phalcon Fork para este propósito. Primero, podemos crear un Fork antes de que la vulnerabilidad sea parcheada. Usé el bloque de altura 17038763 al crear el Fork a través de la API de Fork.
Paso I: preparar suficiente Ether
El primer paso es obtener suficiente Ether para la tarifa de gas del explotador. Si no hay Ether en la cuenta, se emitirá la transacción que envía Ether desde vitalik.eth.
Paso II: transferir la propiedad del contrato de Tether Gold
El propietario del contrato de Tether Gold es una billetera multisig (0xC6CDE7C39eB2f0F0095F41570af89eFC2C1Ea828). Para transferir la propiedad al explotador, necesitamos enviar una transacción multisig y luego confirmar la transacción.
Paso III: Agregar una cuenta privilegiada al contrato de Tether Gold
Agregamos una nueva cuenta 0x189e7947a9d9210eec3a41dcf5f536bb1d7726f5 como cuenta privilegiada. Luego, invocamos la función transferFrom para transferir el token XAUt de una víctima a la cuenta privilegiada.
0x2. PoC
Por favor, encuentra el PoC en este github:
