合约安全(4):为啥说UniswapK值不那么守恒

最新推荐文章于 2023-04-26 16:42:09 发布
最新推荐文章于 2023-04-26 16:42:09 发布
阅读量527 收藏 1
点赞数
分类专栏: 胖达的区块链安全工坊 文章标签: 安全 智能合约 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cemao4548/article/details/109460079
版权

前言

诶嘿,刚审计了个Swap项目,项目的Swap函数手续费收了两次…
为了把问题描述的清晰一些,我仔细地追了一下swap中手续费的计算方法。

于是机缘巧合的发现了Uniswap K值检查的奇妙,和我想象中的检查方式有些差别。
本文做一个技术点的记录和分享。

文章目录

前置知识

AMM的K值守恒

在AMM中进行交易,遵循K值守恒原则,Swap前后的reverse乘积不变。
详细兑换原理,可查看 uniswap解析与举例

问题发现

在描述问题过程之前,笔者奉上UniswapV2Pair:swap的代码以便查阅:

    // this low-level function should be called from a contract which performs important safety checks
    function swap(uint amount0Out, uint amount1Out, address to, bytes calldata data) external lock {
        require(amount0Out > 0 || amount1Out > 0, 'UniswapV2: INSUFFICIENT_OUTPUT_AMOUNT');
        (uint112 _reserve0, uint112 _reserve1,) = getReserves(); // gas savings
        require(amount0Out < _reserve0 && amount1Out < _reserve1, 'UniswapV2: INSUFFICIENT_LIQUIDITY');

        uint balance0;
        uint balance1;
        { // scope for _token{0,1}, avoids stack too deep errors
        address _token0 = token0;
        address _token1 = token1;
        require(to != _token0 && to != _token1, 'UniswapV2: INVALID_TO');
        if (amount0Out > 0) _safeTransfer(_token0, to, amount0Out); // optimistically transfer tokens
        if (amount1Out > 0) _safeTransfer(_token1, to, amount1Out); // optimistically transfer tokens
        if (data.length > 0) IUniswapV2Callee(to).uniswapV2Call(msg.sender, amount0Out, amount1Out, data);
        balance0 = IERC20Uniswap(_token0).balanceOf(address(this));
        balance1 = IERC20Uniswap(_token1).balanceOf(address(this));
        }
        uint amount0In = balance0 > _reserve0 - amount0Out ? balance0 - (_reserve0 - amount0Out) : 0;
        uint amount1In = balance1 > _reserve1 - amount1Out ? balance1 - (_reserve1 - amount1Out) : 0;
        require(amount0In > 0 || amount1In > 0, 'UniswapV2: INSUFFICIENT_INPUT_AMOUNT');
        { // scope for reserve{0,1}Adjusted, avoids stack too deep errors
        uint balance0Adjusted = balance0.mul(1000).sub(amount0In.mul(3));
        uint balance1Adjusted = balance1.mul(1000).sub(amount1In.mul(3));
        require(balance0Adjusted.mul(balance1Adjusted) >= uint(_reserve0).mul(_reserve1).mul(1000**2), 'UniswapV2: K');
        }

        _update(balance0, balance1, _reserve0, _reserve1);
        emit Swap(msg.sender, amount0In, amount1In, amount0Out, amount1Out, to);
    }

根据AMM的K值守恒要求,当Swap完成时,uniswap底层应检查一下K值是否与交易前相等。
代码大概是 balance0 * balance1 == K这样子,至少应该是个等于号
但是当我们跟进到UniswapV2Pair:swap函数时,发现检查K值守恒的用的是>=号,对应代码是

require(balance0Adjusted.mul(balance1Adjusted) >= uint(_reserve0).mul(_reserve1).mul(1000**2), 'UniswapV2: K');

嘿嘿,神奇啊。这和预期的K值守恒完全不是一个意思呀。
带着充满好奇的满心欢喜,我们瞅瞅上面代码是咋写的。
等号左边儿咋害能比K值大呢?

        uint balance0Adjusted = balance0.mul(1000).sub(amount0In.mul(3));
        uint balance1Adjusted = balance1.mul(1000).sub(amount1In.mul(3));

瞅这两行,balance0Adjustedbalance1Adjusted是pair新余额的校准值。
校准的部分是刨去手续费的amountIn
看到这里我就更懵了: 这一Adjust后,balance更小了。
这乘积肯定比K值小啊,咋害能大呢。

为啥不是小于K值

我们仔细看一下amountIn的来源,

uint amount0In = balance0 > _reserve0 - amount0Out ? balance0 - (_reserve0 - amount0Out) : 0;

可见amountIn真实balance - (reverse - amountOut)
所以amountIn 的含义是 真实的输入量,即包含0.3%手续费的那个100%AmountIn

这么一看我就悟了。
哦,我的老伙计。
用户把钱打进来的地方可是在swap函数调用之前呀。
UniswapV2Router02.sol:swapExactTokensForTokens:

    function swapExactTokensForTokens(
        uint amountIn,
        uint amountOutMin,
        address[] calldata path,
        address to,
        uint deadline
    ) external virtual override ensure(deadline) returns (uint[] memory amounts) {
        amounts = UniswapV2Library.getAmountsOut(factory, amountIn, path);
        require(amounts[amounts.length - 1] >= amountOutMin, 'UniswapV2Router: INSUFFICIENT_OUTPUT_AMOUNT');
        TransferHelper.safeTransferFrom(
            path[0], msg.sender, UniswapV2Library.pairFor(factory, path[0], path[1]), amounts[0]
        );
        _swap(amounts, path, to);
    }
  • 打钱的地方是TransferHelper.safeTransferFrom
  • 这时候balance发生变化,增加了100%AmountIn
  • 但是下面_swap兑换的时候,用的AmountOutgetAmountOutreturn的那个99.7%AmountOut
  • 剩余的0.3%feeValue被留在了pair里面,造成了输入币reverse的增大。

后面pair.swap时,通过校准将这0.3%异常抹除。
这时再比较K值,就不是小于而是相等啦。

为啥还能大于K值

ok 不是小于而是相等的问题解决了。
剩下就是 Uniswap为啥还留了个大于号

require(balance0Adjusted.mul(balance1Adjusted) >= uint(_reserve0).mul(_reserve1).mul(1000**2), 'UniswapV2: K');

要搞清楚这个问题,我们需要回到Uniswap第一次开始检查K值守恒的时间点:
commit:580787051ed66b75210c14269a3a48b4bcdee620

在这个版本中,人类历史上首次提出了"UniswapV2: K"的要求

        } else {
            ...
            require(amountIn.mul(reserve0 - amountOut).mul(997) >= amountOut.mul(reserve1).mul(1000), "UniswapV2: K");
            ...
        }

哭辽,原来swap方法从一开始就没想过等价交换或者什么K值守恒
它只是要求 扣除手续费后的AmountIn 要大于等于 取走的AmountOut
换句话说:
你往pair里面多扔钱我不拦着;想多拿走?绝不可能!(╬ ̄皿 ̄)=○

总结

这么一追,我悟了。
>=设计本身就是一个合约的利己行为。
Swap的K值守恒也只是限制user别换走额外的钱,
但你要是无偿提供点流动性,本合约绝不拦你~ ╰( ̄▽ ̄)╭

碎碎念

使用>=而不是==,放宽了K值守恒的限制,
这意味着攻击者有了更多的操作空间。
至于能怎么利用这个小trick,以后再想吧…

引用

可爱多多白
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
UniswapV2核心合约学习(3)——UniswapV2Pair.sol
天草降临的博客
10-08 1万+
Uniswap是当前以太坊上最流行的去中心化交易所,它使用恒定乘积算法来自动做市,任何人都可以在上面创建自己的ERC20代币交易对。本文为个人学习UniswapV2智能合约源码的系列记录文章。
Uniswap 解析:恒定乘积做市商模型Constant Product Market Maker Model 的Vyper 实作
q_776355102的博客
01-31 2333
Dai -> Ether:用2 Dai 来购买Ether,依照上方公式(1-x)(50+2) = 50 可得x ≒ 0.038,也就是得到的价格是2 Dai = 0.038 Ether,高于市价2 Dai = 0.02 Ether,那么眼尖的人就会立刻冲来套利了xD。在有手续费的情况下∆x 就变成了(1-ρ)∆x ,若令γ = 1-ρ 则为γ∆x。要注入多少Ether (≥ 10¹⁰) (= x) 以及相应的币的数量(= y),也就是上方提到的k (= x* y),在本例的X 币就是Ether。
分析22864个地址的Uniswap V3真实做市情况,77%都是被动流动性提供者
woliuqiangdong的博客
02-04 529
  为什么做市商很重要?   金融中的做市不仅仅是指x*y=k这一等式。在传统的中央限价订单簿(CLOB)市场中,做市商专门提交买方和卖方订单。用户在FTX上进行交易时,交易对手可能不是一个定向的交易者,而是一家做市商!大多数高频交易公司,甚至银行,都会将一部分投资组合分配给做市活动。知名的做市商包括Two Sigma、Citadel 和 Jump Trading。   做市商在传统市场中尤其重要,因为仅靠定向交易者并不能为市场提供足够的流动性。这事由于以下几个原因:   存在信息割裂。买家无法有效与
[转] [Uniswap v2 合约代码解析] Uniswap v2 Pair合约代码
zhoujianwei的专栏
05-21 1881
转载
uniswap - V3技术白皮书导读
StarLi2020的博客
04-18 1718
uniswap V3一公布就引发广泛关注。相对V2来,逻辑和代码都复杂一些。V3的核心是通过盘口区间提供流动性(集中式流动性),解决LP提供流动性时的资金利用率的问题。什么是资金利用率?V3如何推导区间流动性的计算公式?如何理解流动性?如何计算swap费用?本文先从V3技术白皮书详细分析开始。 先给出一些uniswap官方有关V3的资料: V3官方介绍 https://uniswap.org/blog/uniswap-v3/ 技术白皮书 https://uniswap.org/whitepaper-v3.
Uniswap V1 合约源码之保姆级解析
weixin_43380357的博客
03-10 439
作为入门级项目,UniswapV1真的是非常的友好了!
论文研究 - 具有弱间断通量的标量守恒律初边问题全局弱熵解的构造
05-31
本文涉及具有弱不连续通量的标量守恒律的初边问题,其初始数据是具有两个常数的函数,而边界数据是常数。 在通量函数具有有限数量的弱不连续点的情况下,利用相应初问题的弱熵解的结构和Bardos-Leroux-Nedelec...
高中物理第1章动量守恒定律4实验:验证动量守恒定律学案新人教版选择性必修第一册.pdf
03-12
在碰撞前后,如果系统的总动量保持不变,那么就可以动量是守恒的。 实验提供了三种不同的方案:使用气垫导轨、长木板上的两车碰撞以及斜槽滚球。每种方案都需要测量物体的质量和速度,然后计算碰撞前后的动量差,...
电荷守恒、物料守恒、质子守恒知识.doc
06-22
电荷守恒、物料守恒和质子守恒是化学中基本的守恒定律,尤其在电解质溶液中显得尤为重要。这些守恒原则帮助我们理解溶液中离子的平衡状态,对于预测化学反应的方向和计算溶液中离子浓度具有指导意义。 **电荷守恒**...
高中物理第四章机械能和能源第5节机械能守恒定律4实验:验证机械能守恒定律学案教科版必修2201808014188
09-10
测量误差可以通过多次测量取平均来减小,而系统误差主要是由于物体下落过程中受到的阻力(例如空气阻力)导致机械能的非守恒。 6. **实验步骤**:包括安装器材、打点、选纸带、数据分析等环节,要求先开启电源再...
Uniswap的pair合约创建事件
sanqima的专栏
02-09 8368
1、uniswapV1的合约创建事件 factoryV1 = 0xc0a47dfe034b400b47bdad5fecda2621de6c4d95 eventV1 = 0x9d42cb017eb05bd8944ab536a8b35bc68085931dd5f4356489801453923953f9 2、uniswapV2的合约创建事件 factoryV2 = 0x5c69bee701ef814a2b6a3edd4b1652cb9cc5aa6f eventV2 = 0x0d3648bd0f6ba80134
uniswap合约的接口交互所遇到问题总结
最新发布
weixin_47450271的博客
04-26 1246
uniswap合约的接口交互所遇到问题总结
linux 修改swap,Linux 添加swap分区, 设定swap
weixin_31002029的博客
05-16 442
swap设定1,查看当前系统swapchunli@CentOS~$cat/proc/sys/vm/swappiness60内存在使用到100-60=40%的时候,就开始出现有交换分区的使用swappiness=0表示最大限度使用物理内存,然后才使用swap空间,swappiness=100表示积极使用swap分区,并且把内存上的数据及时的搬运到swap空间面2,永久设定chun...
Uniswap计算过程推演
biakia的专栏
04-10 2882
0、创建一个交易对 假设创建了一个DAI/USDT交易对,其中有一个用户lpUser负责存入和提取交易对,另一个用户swapUser负责交易。 1、初始状态
UniswapV2Pair.sol
的博客
06-14 5614
//参考自:https://blog.csdn.net/weixin_39430411/article/details/108965855 //指定版本 pragma solidity =0.5.16; //导入Pair接口 import './interfaces/IUniswapV2Pair.sol'; //导入V2ERC20合约 import './UniswapV2ERC20.sol'; //导入一个数学库,包含一个min()函数,一个sqrt()函数 import './libraries/M.
Uniswap V2的手续费换算
sanqima的专栏
11-13 7846
    在Uniswap V2中,默认是收取0.3%的手续费,这个手续费是以存入资源池的ΔX为基数计算的,即先扣除0.3%*ΔX个Token X。     先定义如下几个常用的换算公式,如图(1)所示。 常用的换算公式 图(1) Uniswap V2常用的计算公式 当协议费为Φ=1/6时     由Uniswap白皮书可知,手续费是从0.3%之中,在抽取ϕ比例的给开发团队作为协议费,剩下的按比例返还给LP。注意,返还的不是实际参与交易的Token X和Token Y,而是LP Token(即Uni
UniswapV2介绍
天草降临的博客
09-18 1万+
Uniswap是一个去中心化交易所,它采用了恒定乘积算法来自动做市。它是当前以太坊大火的Defi的基石。本文介绍了UniswapV2版主要功能和特点。所有内容均来源于UniswapV2的官方文档及白皮书,个人只是作了一下简单的翻译和整理。由于个人水平有限,理解或者翻译或者表达难免有错误的地方,肯请大家指正。
完整部署uniswap 合约、前端教程(可部署uniswap到bsc、heco)
热门推荐
zgf1991 IT新人
10-17 2万+
文章目录前提条件部署合约部署工厂和WETH合约部署路由合约(重要环节!!)步骤1 获取字节码步骤2 获得initCode步骤3 替换路由中的initCode当前部署结果部署前端其他补充(懂solidity的可以看看)添加流动性交换方法工具in/out计算公式推导 参考链接 崔棉大师的教程 手把手教你部署自己的uniswap交易所 之前部署是跟着崔棉大师的教程走的,但是部署完了,没法实际使用,添加流动性还是交易会报错 这主要是做补充; 前提条件 自己有账号,且申请测试以太坊 (ropsten直接小狐狸 b
计算机辅助安全工程:第4章深度解析安全模拟与CFD事故灾害模拟
本资源是关于计算机辅助安全工程的第四章——安全模拟与仿真,由叶迎春教授针对机械与储运工程学院的学生讲解。这一章节着重讨论了数字仿真在安全工程中的广泛应用,包括以下几个核心内容: 1. 数字仿真的特点: -...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

可爱多多白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值