Jarvis Network 项目遭受闪电贷重入攻击分析

数据显示，2023年1月15日17:43:37 UTC，Jarvis_Network项目遭到攻击，损失663,101个MATIC。

分析交易调用栈发现，在移除流动性过程中存在重入逻辑。重入前后对同一合约的同一函数调用，传入参数相同，但返回值差异巨大：

• 重入前：1,002,157,321,772,769,944
• 重入后：10,091,002,696,492,234,934

重入发生在remove_liquidity函数中。该函数在移除流动性时会将用户添加的代币返回。由于Polygon和EVM是同构链，在MATIC转账给合约时会触发合约的重入。

深入分析发现，问题出在getUnderlyingPrice函数的实现上。该函数涉及到一系列内部计算和外部调用，其中关键是get_virtual_price函数的返回值。

get_virtual_price函数的返回值受self.D变量影响。在remove_liquidity函数中，self.D的更新发生在代币转账之后。攻击者在移除流动性时，MATIC转移到攻击合约，回调fallback时先查询了代币价格。由于self.D尚未更新，导致价格获取错误。

remove_liquidity函数流程：

1. 销毁用户LP
2. 发送用户质押资金
3. 更新self.D

攻击者在第2步进行重入，利用未更新的self.D值进行借贷，获取了10倍于正常价格的资金。

虽然remove_liquidity函数使用了@nonreentrant('lock')防止重入，但攻击者通过跨合约重入绕过了这一保护机制。

此次攻击暴露了几个关键问题：

1. 变量修改逻辑在外部调用之后，导致价格获取异常
2. 跨合约重入使重入锁失效
3. 未遵循"检查-生效-交互"（Checks-Effects-Interactions）模式

为提高安全性，项目方应：

• 进行严格的安全审计
• 将变量修改放在外部调用之前
• 采用多数据源进行价格获取
• 遵循"先判断，后写入变量，再进行外部调用"的编码规范

通过这些措施，可以显著提升项目的安全性和稳定性，有效防范类似攻击。