ENV:通缩代币相关安全问题 教你如何完美避坑_ethdown币怎么样

近期Beosin安全团队研究发现,通缩代币引起的安全事件依然频发,造成众多项目方资金的损失,因此,Beosin安全团队准备了这篇详解通缩代币的文章,与大家分享。

本文将对通缩代币与pair结合过程中容易出现的问题以及历史发生的真实通缩代币安全事件两个方面进行介绍,通过本文,我们将彻底搞清楚通缩代币是什么意思以及通缩代币发生安全问题所涉及的原理,使我们在之后的项目中避坑。

1 通缩代币是哪种类型的币?

通缩代币是一种在交易过程中会进行相关比例销毁的代币,这是一种很好的激励用户持有代币的方式。

在代币交易过程中,会扣除部分代币用于手续费、奖励以及销毁,而随着代币的销毁,总供应量便会不断减少,就能使得用户持有代币所占比例增加,从而使得用户更愿意持有代币来被动获取更高的收益。

看似完美的金融方案,但在代码实现上并不像预想的那么完美。代码中存在销毁过程,此过程将绕过swap过程直接修改地址余额,这种情况与pair相结合,便会出现一些意想不到的问题。

2 通缩代币存在哪些问题?

法巴银行:经济衰退、通缩和结束政策紧缩将是2023年的主题:1月4日消息,法国巴黎银行首席经济学家WilliamVijlder在一篇文章中说,新的一年,欧洲和美国的关键经济变量应该会发生变化,通胀将大幅下降,央行利率将达到峰值,经济将滑向衰退。他表示:“美联储和欧洲央行应该会在2023年初继续上调政策利率,但随后它们的货币政策应该已经足够收紧,并将转向观望。”Vijlder指出,美国和欧元区今年都将有一段时间处于衰退之中,衰退预计是短暂和轻微的,但如果能源价格再次上涨或通胀下降幅度低于预期,经济收缩幅度可能会更大。[2023/1/4 9:52:40]

(1)添加流动性问题

通缩代币在转账时会收取一定比例的手续费给当前合约,并在手续费达到某个阈值(当前代币数量大于等于合约设置的某个变量)时会调用pair合约进行swap、addLiquidity或sync等操作。

如果在通缩代币交易过程中,没有排除to地址等于pair合约地址,并且该通缩代币在pair中为TokenB时,那么在进行TokenA与TokenB添加流动性的操作中可能导致失败。

为什么会出现交易失败的问题呢?添加流动性是将TokenA与TokenB两种代币打入pair合约,然后调用pair合约的mint函数(下方详情),该函数会根据本合约的当前余额与储备量的差值来判断用户传入了多少代币。

用户将TokenA的代币发送至pair后,进行TokenB代币转账,当收取的手续费正好达到上述的阈值时,代币合约调用pair的swap、mint或sync函数,这几个函数都会调用pair的_update函数,从而将用户最开始发送至pair的TokenA更新为reserve。

报告:若以太坊合并后仍维持EIP-1559年均销毁2.1%,以太坊将正式进入通缩时代:8月26日消息,据欧科云链研究院报告分析,以太坊当前主网和信标链的年总发行率为4.39%,其中约88.84%的发行在主网,剩余11.16%发行在信标链上。伴随以太坊合并升级,主网/执行层的发行将归零(90%的发行量消失),加之受EIP-1559影响,目前链上已累计销毁251.1万枚ETH(占总发行量2.1%),若以太坊合并后仍维持年均销毁2.1%,那以太坊将真正意义上进入通缩时代。[2022/8/26 12:50:50]

最后,用户再调用mint函数,会导致TokenA的balance和reserve是相等的,结果将导致该笔交易失败。

Mint函数代码如下:

整个调用过程如下:

过程详情图

(2)Skim问题

Pair合约拥有一个skim函数(下方详情),该函数会将pair合约中超出储备量的代币发送到调用者指定地址,数量计算方式是根据pair合约所拥有的代币数量与储备量之间的差值来实现的,这本身是一个平衡pair供应量的功能,但遇到其中一个代币为通缩代币,便可能出现问题。

UENC将执行UT-2000提案,开启长期通缩销毁计划:据官方消息,为促进UENC的生态健康发展,基于合理的市场供需关系UENC将执行UT-2000提案,全球实验室UT Lab在智能合约测试网上线后会对已有流通储备UENC进行长期通缩销毁计划,本期将销毁早期规划包含空投预留2400万枚以及测试网预留600万枚的剩余数量,减去已使用空投和测试网激励部分,本期将销毁合计24322663.818枚UENC,占发行总量约12%。[2022/3/4 13:38:04]

通缩代币在交易过程中会扣取一部分的费用,那么如果在skim函数中代币转账过程扣取的费用是由from“买单”,会出现什么问题呢?

此时扣取的费用将会是pair的供应量,这样就能提前向pair中转入代币,通过不断的skim函数与sync函数消耗掉pair的供应量,使得该种代币在pair中的价格不断飙升,最终使用少部分该通缩代币就能兑换出大量的另一种代币(一般为usdt、eth等价值币)。

Skim函数代码如下:

function skim(address to) external lock {address _token0 = token0;   address _token1 = token1;   _safeTransfer(_token0,to,IERC20(_token0).balanceOf(address(this)).sub(reserve0));  _safeTransfer(_token1, to, IERC20(_token1).balanceOf(address(this)).sub(reserve1));}整个调用过程如下:

HPT销毁数量环比增长114.55%,HPT首次进入通缩状态:据官方公告,火币矿池公布2021年2月HPT回购销毁数据,本次HPT回购销毁数量为64,188,039.69枚HPT,环比增长114.55%,同比增长836.49%。2021年2月,HPT释放量约为3762.62万HPT,首次进入通缩状态。

据悉,近期HPT在HPT Finance系列产品与布局Huobi生态链Heco方面均有所动作。Huobi Pool表示,会一如既往地关注HPT的用户权益,增加HPT应用场景,同时提升HPT的长期价值,为HPT创造更大的发展空间。[2021/3/4 18:15:29]

(3)销毁问题

该问题主要出现在使用“映射”机制的通缩代币中,这种代币的机制是存在两种代币余额存储变量,分别为tOwned和rOwned,而tOwned存储的是实际代币数量,rOwned存储的是通过currentRate变量放大映射之后的值。

rOwned的作用是什么呢?在文章开始说过,通缩代币能激励用户持有代币,这种激励目的使用的方式便是对交易者扣除rOwned值,同时扣除rTotal,这样其他用户rOwned所占rTotal的比例就会被动增加,实现被动收益。(rOwned与rTotal可理解为用户的股份以及总股份)

Victor:MANTA是第一个具备通缩性的功能型隐私资产:2月9日,Manta Network CSO Victor做客MXC抹茶社区,分享Manta网络的优势。Victor表示,Manta网络资产MANTA 是第一个具备通缩性的功能型隐私资产,根据其协议实际隐私保护网络的使用情况以及在 DeFi 中的增长情况,用户能够进行激励分红,赎回和通证销毁等操作。

MANTA总量 1,000,000,000 枚,收入来源在于隐私代币生成和赎回基本币的置换费 (0.1%),以及隐私币支付,不同隐私币之间交换的手续费 (0.3% — variable)。这些持续收入会使 $MA 通证具备折现价值(discount value)、赎回价值(redeem value)、治理价值(governance value)以及扩展价值(extended value),我们会随着产品开发逐步披露代币的使用场景。另外MANTA代币也可以通过参与平行链拍卖质押DOT获得。[2021/2/9 19:20:15]

用户查询余额的方式有两种情况,一种是除外地址,直接返回tOwned的值,另一种是非除外地址,返回rOwned/currentRate,而currentRate计算方式为rTotal/tTotal。如果有办法使得rTotal减小,那么用户查询出的实际余额将变大,而如果pair查询余额变大,则可以通过skim函数将多余的代币转移出去。

而该类通缩代币存在一个deliver()函数,非除外地址可调用,该函数会将调用者的rOwned销毁,并销毁相同数量的_rTotal,使得所有非除外地址的余额查询增加,pair如果非除外的话,便可使用上述方式套利攻击。

3 通缩代币相关安全事件剖析

(1)AES安全事件

北京时间2023年1月30日,Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测到,AES遭受到黑客攻击,该项目便存在上述的Skim问题。

AES-USDT pair合约有一个skim函数,该函数可以强制平衡pair的供应量,将多余资金发送给指定地址。

攻击者在本次攻击过程中,首先向pair里面直接转入了部分AES代币,导致供应量不平衡,从而攻击者调用skim函数时,会将多余的这部分代币转到攻击者指定地址,而攻击者在此处指定了pair合约为接收地址,使得多余的AES又发送到了pair合约,导致强制平衡之后pair合约依然处于不平衡状态,攻击者便可重复调用强制平衡函数,而AES发送过程会调用到AES合约的transfer函数,如下图。

另外一点,当调用AES代币合约的transfer函数时,若发送者为合约设置的pair合约时,会将一部分费用记录在swapFeeTotal之中(如上图过程),在最后的时候可以统一调用distributeFee函数(如下图)将swapFeeTotal记录的费用从pair中转出,这里相比上述的过程,攻击者可以不用做sync函数调用操作,而是在最后将费用转移出去之后调用一次sync函数即可。

攻击者经过反复的强制平衡操作,费用记录变得异常大,基本接近pair的总余额,最后攻击者调用distributeFee函数将pair里面的AES转出,pair的AES余额变得非常少,导致攻击者利用少量AES兑换了大量的USDT。

(2)BevoToken安全事件

北京时间2023年1月30日,Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测到,BevoToken遭受到闪电贷攻击,该项目便是上面所说的“映射”机制通缩代币。

由于BevoToken合约的balanceOf函数(如下图)并非ERC20标准的函数,该函数在经过一些计算处理后再返回余额,而转账或其他操作可能使前后计算返回的余额不一致,当攻击者在swap操作前后可凭借这个问题来操控pair合约的余额,从而skim出多余的代币。

攻击者首先在pancake贷出192.5个BNB,之后换成约302,877个BEVO代币,再调用被攻击合约的deliver函数(如下图),此时_rTotal的值减小,_rTotal的值减小会导致_getRate中计算的值偏小,此时balanceOf返回的余额则会偏大,导致攻击者能skim出多余的BEVO。

之后,攻击者再将skim出的代币进行deliver,此时_rTotal的值已经很小了,在进行_getRate计算时,会减去除外地址的rOwned(如下图),此值固定且被攻击者在之前通过burn异常放大的,在最开始_rTotal正常的时候,减去该值对结果的影响不大,但是现在_rTotal被攻击者操控得异常小,再减去这个异常放大的固定值后,对结果产生了巨大的影响,第一次deliver导致pair计算结果偏大3倍,而第二次deliver之后,pair计算结果则偏大了数百倍,这也是为什么攻击者获得的代币要比自己销毁的代币多得多的原因。

通缩项目在业务设计的时候一定要考虑到与pair交互的情况,自身的通缩机制是否会对pair产生影响。我们也建议相关项目上线前寻找专业的安全审计机构进行全面的代码以及业务的安全审计工作。

Beosin

企业专栏

阅读更多

金色财经 善欧巴

金色早8点

Odaily星球日报

欧科云链

Arcane Labs

深潮TechFlow

MarsBit

BTCStudy

澎湃新闻

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-9:956ms