去中心化金融(英语:Decentralized finance,俗称 DeFi)是一种创建于区块链上的金融,它不依赖券商、交易所或银行等金融机构提供金融工具,而是利用区块链上的智能合约进行金融活动。在 DeFi 中存在了大量的套利机会,包括但不限于清算、差价套利。本文将分析部分去中心化交易所(DEX)以及聚合器(Aggregator)在合约代码上可能存在的套利机会。
Uniswap 是一个采用了自动做市商(AMM)模型的去中心化的加密货币交易平台,目前有两个流行的版本,分别是 Uniswap V2 和 Uniswap V3,我们将分别分析其中可能存在的套利机会。
Uniswap V2 Router
在 Uniswap V2 中,用户一般是通过 Router 合约与 Pair 合约以及 Factory 合约进行交互。通常来说 Router 只是会在交易中中转代币,而不会存储代币,但由于种种原因,如空投、转账失误导致 Router 合约中存储了某些代币。那么如何将这些代币提取出来呢?
通过分析 Uniswap V2 Router 02 合约的代码,发现存在 removeLiquidityETHSupportingFeeOnTransferTokens 函数:
该函数用于移除其中一个代币为 WETH 的流动性,其内部调用 removeLiquidity 函数时传入的 to 的地址为 address(this),也就是会将两种代币先转移到 Router 合约中,然后 Router 合约再将两种代币转移到指定的地址。这里虽然转移的 WETH 的数量是 removeLiquidity 返回的,无法修改,但是转移的另一种 Token 的数量是 balanceOf(address(this)),即 Router 合约中的该代币的余额。
因此根据上述分析,我们能得到一个套利的流程:
监控到 Router 02 合约存在 ERC 20 代币;
BSC-WBNB-WOOF交易对通过代币后门跑路,涉及金额约11.5万美元:2月6日消息,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,BSC-WBNB-WOOF交易对被攻击,交易哈希:0xea5cf9199d23a9108d84e9204cb13795a480b34a6e4ef448245a1452f69fe781。
据Beosin安全技术人员分析,该攻击是由于WOOF代币合约的后门代码导致的,WOOF的address(jZKbvD)权限地址可以使用transferFrom函数0授权转移任何地址的WOOF代币。攻击者通过transferFrom函数转移走了BSC-WBNB-WOOF交易对内的WOOF代币,并更新池子的储备量,接着使用大量的WOOF代币兑换交易对内的所有WBNB。
目前涉及资金约11.5万美元,大部分通过攻击者地址(0x9b07f0488390a2d9c7af9ae40e0e64f31489006d)分散到其他地址。[2023/2/6 11:50:18]
调用 addLiquidityETH 添加该 ERC 20 代币和 WETH 的流动性;
调用 removeLiquidityETHSupportingFeeOnTransferTokens 移除流动性。
局限性:
如果该代币之前没有和 WETH 组流动性,当第一次添加流动性时会损失一小部分流动性(MINIMUM_LIQUIDITY);
暂时未发现提取 Router 02 合约中的 WETH 和 ETH 的方法。
Uniswap V2 Pair
Uniswap V2 Pair 合约,即所谓的流动性池,存储着提供流动性的 2 种代币,因为 Pair 合约中使用的是 reserve 来记录余额而不是 balanceOf(address(this)),因此有人直接误转流动性代币到合约中时会出现 balance 和 reserve 出现差值,而 Pair 合约中存在平衡函数 skim,我们可以调用该函数将这差值数量的代币给提取出来:
DeSo区块链通过代币销售获得2亿美元融资,a16z等参投:9月21日消息,BitClout创始人(化名为Diamondhands)透露自己的身份是稳定币初创公司Basis创始人Nader Al-Naji,Basis因监管限制于2018年关闭。Nader Al-Naji的新区块链网络Decentralized Social(DeSo)通过出售DESO代币获得2亿美元融资,Andreessen Horowitz(a16z)、Sequoia、Social Capital、TQ Ventures、Coinbase Ventures、Winklevoss Capital、Polychain Capital、Pantera Capital、Arrington Capital、Blockchange Ventures、Distributed Global、Blockchain.com Ventures、Hack Ventures、Reddit联合创始人Alexis Ohanian等参投。
DeSo区块链支持传统社交媒体功能(如创建个人资料和帖子)以及区块链原生功能(如社交代币、小费和NFT),这些功能可以让创作者赚钱。Al-Naji表示,所有想要使用DeSo区块链或基于该区块链构建的应用程序的人都必须持有DESO代币。[2021/9/21 23:40:46]
可以看到该函数会将流动性池中两种流动性代币的 balance 和 reserve 差值数量的代币转移到 to 地址。
流动性池中除了这两种代币外,也会因为误转、空投等原因存在其他的 ERC 20 代币,如何提取这一部分的代币呢?
对 Pair 合约的代码分析后发现无法提取这一部分代币,只有一种情况例外:当流动性池中存在该池的 LP 代币时。
出现这种情况我们可以调用 Pair 合约的 burn 函数,移除流动性,取出相应的两种流动性代币:
Web3数据生态系统Pocket Network通过代币公开销售筹资930万美元:4月29日,Web3数据生态系统Pocket Network发推宣布通过代币公开销售筹资930万美元,投资者包括BlockArk、OKEx、ZEEPrimeCapital、FreeCompany、DACM、LDCapital、Apollo、EdenBlock、Blockchain.com、Republic、FBGCapital、DIVERGENCE、RedBlock、atkc、CMS、MechanismCapital、BorderlessCapital、DFG、FacultyCapital、DecentralPark以及其他200余个节点运行商。[2021/4/29 21:11:28]
Uniswap V3 SwapRouter
Uniswap V3 的 SwapRouter 合约中也会存在和 Uniswap V2 Router 一样的情况,存在 ERC 20 代币和 ETH,但是幸运的是 SwapRouter 合约提供了几个函数可以方便提取其中的代币。
提取 ERC 20 代币我们可以使用 sweepToken 函数:
提取 ETH 我们可以使用 refundETH 函数:
也能够直接调用 unwrapWETH 9 函数将 WETH 还原成 ETH 并提取出来:
以上是对 Uniswap V3 SwapRouter 合约的套利分析。
在对 Uniswap V3 Pool 合约的代码进行分析后,发现没有办法提取其合约中的其他代币,也不存在如 Uniswap V2 Pair 合约中 balance 和 reserve 有差值的情况。
动态 | Kik对抗SEC或将促使监管机构对通过代币销售发行的加密货币分类进行明确裁决:据Cointelegraph消息,虽然很难对加密货币Kin的创造者Kik和SEC之间将发生的事情做出决定性预测,Kobre&Kim律师Benjamin J. Sauter表示,“目前尚不清楚Kik是否会对SEC提出积极主张。大多数情况下公司会等着看SEC是否采取强制行动。不管怎样,到目前为止,Kik已经提出一些可信的论点,因此,如果SEC决定采取执法行动,它将承担合法的风险。” Kobre&Kim的David H. McGill称,“如果目标是推翻豪伊测试或使其广泛不适用于代币,我认为这不太现实。但如果目标是让法院同意,在争议的特定事实和情况下,KIN代币不构成证券,我认为Kik有合理的机会实现这一结果,然后可以作为其他代币发行者反击SEC的立足点。” 然而不管输赢,Kik在公开对抗SEC方面迈出重要的一步:针对主管部门花很长时间才达成执法决定,以及SEC缺乏透明度而对美国加密行业造成损害,Kik表达了不满。这可能会促使监管机构最终就如何对通过代币销售发行的加密货币进行分类做出一些明确裁决。如果该公司确实贯彻其倡议并起诉SEC,那么无论结果如何,美国法院很可能会做出这样的裁决。[2019/6/2]
SushiSwap 最初是一个 Uniswap 的分叉项目,后来发展成为一个独立的生态系统,提供了许多不同的金融服务和产品。
因为 SushiSwap 和 Uniswap V2 一样,因此上述的针对 Uniswap V2 的套利手段对与 SushiSwap 也同样适用。
SushiXSwap
SushiXSwap 是 SushiSwap 推出的基于 LayerZero 的全链交易协议,支持的网络包括 Optimism、Arbitrum、Fantom、BNB Chain、Polygon 和 Avalanche。用户可以在支持的网络以及资产之间进行跨链交易。
如何提取 SushiXSwap 合约中的代币呢?
SushiXSwap 中主要的功能都通过 cook 函数实现,该函数提供了一系列的操作,支持操作列表如下:
声音 | 郭达峰:DApp 开发者可以通过代码设计高效使用RAM:EOS Asia 的郭达峰在《EOSLaoMao · 宁话区块链》的节目中称“ DApp 开发者可以通过代码设计高效使用内存(RAM),即只在内存里存少量必要的数据。EOS Asia 在开发 DApp 时就特别为内存使用量进行优化。比如我们正在孵化的广告行业区块链解决方案TXT项目就需要储存大量的数据,对于这些数据我们并不会储存到内存(RAM),而是设计了一套第二层的储存链。通过这种方式,TXT只需要把大部分数据都存到了储存链,对主链的内存需求就大大减少了。”[2018/7/25]
其中有一个操作 ACTION_DST_WITHDRAW_TOKEN,其代码实现如下:
首先将传入 cook 函数的 data 进行解码,然后判断 amount 是否等于 0 ,等于 0 则将 amount 的值设为该合约的 ERC 20 代币的余额或者 ETH 的余额。最后调用 _transferTokens 将代币转移到指定的地址:
因此我们只需要构造传入 cook 函数的 actions 和 datas,即将 actions 设置为 ACTION_DST_WITHDRAW_TOKEN ,在 data 中构造想要转移的代币、接收地址、数量,即可转移出 SushiXSwap 合约中的代币。
Sushi BentoBox
Sushi BentoBox 是 SushiSwap 生态系统中的一个组件。BentoBox 是一个高度灵活的去中心化金融(DeFi)利率优化产品。简单来说,它是一个允许用户存储、借用和赚取利息的智能合约平台。BentoBox 的主要目的是优化用户在 DeFi 领域中的收益。
以太坊上的 BentoBox 合约中存储了大量了代币,那么该合约是否存在套利的空间呢?
在 BentoBox 合约中用户可以通过 deposit 函数进行存款操作,函数的实现如下:
可以看到用户传入指定的代币地址,扣款地址,接收地址,数量,股份数量,函数首先做了一系列校验,然后将 amount 或者 share 进行转换,关键点在 195 - 198 行,这里做了一个校验 :amount DODO V2 Proxy 02
在 DODO V2 Proxy 02 合约中存在 externalSwap函数,用来调用 DODO 聚合的外部平台进行兑换,如 0x , 1inch,代码实现如下:
1719-1721 行在对传入的参数做校验,然后 1724 行校验 fromToken 是否为 ETH,不是的话则会将调用者的代币转移到合约中,然后进行授权,在分析了 DODOAPPROVE 合约的代码后发现只需要将 fromTokenAmount 设置为 0 即可绕过:
然后会对调用的外部合约做校验,是白名单内的才能够调用,这里的 swapTarget,calldataConcat都是由用户可控的,因此可以将 swapTarget 设置为 0x 或者 1inch 的合约地址,然后 calldataConcat 设置为其合约的 view 函数的编码,从而让返回的值为 true,也能通过后面的 require 校验:
接下来会将合约中的 toToken,全部转移给调用者,这里的 toToken 可以是 ERC 20 代币,也可以是 ETH,发送完后会进行最小的预期数量校验,我们将 minReturnAmount 的值设置为非常小的值即可通过。最后两个函数调用无关紧要。
通过以上的步骤我们就能够提取出 DODO V2 Proxy 02 合约中的 ERC 20 代币以及 ETH。
1inch是一个去中心化交易所(DEX)聚合器,它从多个 DEX 中汇集流动性,以便为用户提供最佳的代币兑换价格。通过整合来自不同来源的流动性,1inch帮助用户优化交易并在各个平台之间找到最优惠的价格。1inch的智能合约自动在各个去中心化交易所之间进行交易,使用户能够轻松地在不同交易所之间获取最佳价格和最低滑点。此外,1inch还提供了其他功能,如流动性挖矿和治理代币。
1inch 的主要合约是 AggregationRouter,现在使用较多的是 V 4 和 V 5 版本,这两个合约也会因为各种原因存在一些代币,我们可以通过构造的传入函数中的参数,提取合约中的代币。
AggregationRouterV 5
AggregationRouterV 5 合约存在 swap 函数,其实现如下:
校验了 desc 中的 minReturnAmount 后,从 desc 中获取 srcToken 和 dstToken,接下来 986-997 行可以通过构造 desc 结构体中的 flags 和 srcToken 进行绕过:
然后执行函数 _execute, 这里会进行 call 调用,并会校验执行状态,由于 executor 由用户传入,因此这里我们可以使用 0 地址进行绕过:
然后获取合约中 dstToken 的余额。1007-1018 行我们可以构造 desc 中 flags 以及 minReturnAmount 进行绕过:
最后会将合约中的 dstToken 余额都转到 dstReceiver 地址中,该地址也由用户控制:
通过以上的步骤,我们能构造传入 swap 函数的参数从而将 AggregationRouterV 5 合约中的代币提走。
AggregationRouterV 4
AggregationRouterV 4 与 AggregationRouterV 5 差别不大,AggregationRouterV 4 中也存在 swap 函数,实现如下:
可以发现跟 AggregationRouterV 5 的 swap 函数的实现是一样的,只是 AggregationRouterV 5 对 call 进行了优化,因此使用和 AggregationRouterV 5 一样的方法即可提取出存在 AggregationRouterV 4 合约中的代币。
本文简单介绍了部分去中心化交易所以及聚合器,并探讨了其中可能存在的套利,从合约代码层面分析了套利的原理,但在实际中能否成功还和诸多因素相关,如 GAS,节点速度等。
如何从 defi 中捡钱
What Is Uniswap
SUshi Academy
About DODO
1inch aggregation protocol
At Eocene Research, we provide the insights of intentions and security behind everything you know or don't know of blockchain, and empower every individual and organization to answer complex questions we hadn't even dreamed of back then.
了解更多: Website | Medium | Twitter
来源:星球日报
Odaily星球日报
媒体专栏
阅读更多
金色财经 善欧巴
Chainlink预言机
白话区块链
金色早8点
欧科云链
深潮TechFlow
BTCStudy
MarsBit
Arcane Labs
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。