Jarvis Network 項目遭受閃電貸重入攻擊分析

數據顯示，2023年1月15日17:43:37 UTC，Jarvis_Network項目遭到攻擊，損失663,101個MATIC。

分析交易調用棧發現，在移除流動性過程中存在重入邏輯。重入前後對同一合約的同一函數調用，傳入參數相同，但返回值差異巨大：

• 重入前：1,002,157,321,772,769,944
• 重入後：10,091,002,696,492,234,934

重入發生在remove_liquidity函數中。該函數在移除流動性時會將用戶添加的代幣返回。由於Polygon和EVM是同構鏈，在MATIC轉帳給合約時會觸發合約的重入。

深入分析發現，問題出在getUnderlyingPrice函數的實現上。該函數涉及到一系列內部計算和外部調用，其中關鍵是get_virtual_price函數的返回值。

get_virtual_price函數的返回值受self.D變量影響。在remove_liquidity函數中，self.D的更新發生在代幣轉帳之後。攻擊者在移除流動性時，MATIC轉移到攻擊合約，回調fallback時先查詢了代幣價格。由於self.D尚未更新，導致價格獲取錯誤。

remove_liquidity函數流程：

1. 銷毀用戶LP
2. 發送用戶質押資金
3. 更新self.D

攻擊者在第2步進行重入，利用未更新的self.D值進行借貸，獲取了10倍於正常價格的資金。

雖然remove_liquidity函數使用了@nonreentrant('lock')防止重入，但攻擊者通過跨合約重入繞過了這一保護機制。

此次攻擊暴露了幾個關鍵問題：

1. 變量修改邏輯在外部調用之後，導致價格獲取異常
2. 跨合約重入使重入鎖失效
3. 未遵循"檢查-生效-交互"（Checks-Effects-Interactions）模式

爲提高安全性，項目方應：

• 進行嚴格的安全審計
• 將變量修改放在外部調用之前
• 採用多數據源進行價格獲取
• 遵循"先判斷，後寫入變量，再進行外部調用"的編碼規範

通過這些措施，可以顯著提升項目的安全性和穩定性，有效防範類似攻擊。