前言
北京时间 11 月 7 日,知道创宇区块链安全实验室 监测到跨链协议 Synapse Protocol 推出的资产跨链桥被攻击,攻击者设法降低了 nUSD Metapool 虚拟价格并从中获利约 800 万美元。
知道创宇区块链安全实验室 第一时间对本次事件深入跟踪并进行分析。
分析
攻击事件如下图所示,该次攻击事件的问题点并不在 Synapse 跨链桥本身,而是在 Saddle 开发的 Metapool 合约上。
在具体分析攻击事件之前,我们先来介绍一下什么是 Metapool。Curve 开发的 stableswap 实现中有两类池子,分别是 Standard stableswap pools 和 Metapools。
- Standard stableswap pools:包括了多个基础资产(资产 A、B、C),它们在一个小范围内彼此相互定价。
- Metapools:实现了相同的 stableswap 不变量,但将资产 D 与资产 A、B、C 的 LP 代币进行定价时会导致池的理想平衡权重变为资产 D 的 50% 以及 资产 A、B、C 的各 16.66%,这既隔离了资产 D 的风险,又允许基础池用于额外的 Metap