PAI:通縮代幣相關安全問題 教你如何完美避坑_AlgoPainter

近期Beosin安全團隊研究發現，通縮代幣引起的安全事件依然頻發，造成眾多項目方資金的損失，因此，Beosin安全團隊準備了這篇詳解通縮代幣的文章，與大家分享。

本文將對通縮代幣與pair結合過程中容易出現的問題以及歷史發生的真實通縮代幣安全事件兩個方面進行介紹，通過本文，我們將徹底搞清楚通縮代幣是什么意思以及通縮代幣發生安全問題所涉及的原理，使我們在之后的項目中避坑。

1 通縮代幣是哪種類型的幣？

通縮代幣是一種在交易過程中會進行相關比例銷毀的代幣，這是一種很好的激勵用戶持有代幣的方式。

在代幣交易過程中，會扣除部分代幣用于手續費、獎勵以及銷毀，而隨著代幣的銷毀，總供應量便會不斷減少，就能使得用戶持有代幣所占比例增加，從而使得用戶更愿意持有代幣來被動獲取更高的收益。

看似完美的金融方案，但在代碼實現上并不像預想的那么完美。代碼中存在銷毀過程，此過程將繞過swap過程直接修改地址余額，這種情況與pair相結合，便會出現一些意想不到的問題。

2 通縮代幣存在哪些問題？

安全機構：0VIX 被攻擊的根本原因是通縮代幣的價格計算存在缺陷:金色財經報道，安全機構BlockSec 發推稱，Polygon 生態項目 0VIX Protocol 被黑客攻擊的根本原因是通縮代幣的價格計算存在缺陷。具體來說，vGHST 是 GHST 的權益代幣，借貸平臺為 vGHST 提供了一個市場（ovGHST），ovGHST 價格預言機取決于 vGHST 到 GHST 的轉換率。攻擊者首先在合約 0x49c6 中借入大量 vGHST 以提高相應的借入金額。之后，他轉了一大筆錢給 vGHST 合約。這會影響從 vGHST 到 GHST 的轉化率。因此，合約 0x49c6 變得資不抵債，攻擊者通過清算該合約獲利。[2023/4/28 14:33:36]

（1）添加流動性問題

通縮代幣在轉賬時會收取一定比例的手續費給當前合約，并在手續費達到某個閾值（當前代幣數量大于等于合約設置的某個變量）時會調用pair合約進行swap、addLiquidity或sync等操作。

如果在通縮代幣交易過程中，沒有排除to地址等于pair合約地址，并且該通縮代幣在pair中為TokenB時，那么在進行TokenA與TokenB添加流動性的操作中可能導致失敗。

為什么會出現交易失敗的問題呢？添加流動性是將TokenA與TokenB兩種代幣打入pair合約，然后調用pair合約的mint函數（下方詳情），該函數會根據本合約的當前余額與儲備量的差值來判斷用戶傳入了多少代幣。

法巴銀行：經濟衰退、通縮和結束政策緊縮將是2023年的主題:1月4日消息，法國巴黎銀行首席經濟學家WilliamVijlder在一篇文章中說，新的一年，歐洲和美國的關鍵經濟變量應該會發生變化，通脹將大幅下降，央行利率將達到峰值，經濟將滑向衰退。他表示：“美聯儲和歐洲央行應該會在2023年初繼續上調政策利率，但隨后它們的貨幣政策應該已經足夠收緊，并將轉向觀望。”Vijlder指出，美國和歐元區今年都將有一段時間處于衰退之中，衰退預計是短暫和輕微的，但如果能源價格再次上漲或通脹下降幅度低于預期，經濟收縮幅度可能會更大。[2023/1/4 9:52:40]

用戶將TokenA的代幣發送至pair后，進行TokenB代幣轉賬，當收取的手續費正好達到上述的閾值時，代幣合約調用pair的swap、mint或sync函數，這幾個函數都會調用pair的_update函數，從而將用戶最開始發送至pair的TokenA更新為reserve。

最后，用戶再調用mint函數，會導致TokenA的balance和reserve是相等的，結果將導致該筆交易失敗。

Mint函數代碼如下：

整個調用過程如下：

鏈游平臺WEMIX將實施回購銷毀和代幣通縮策略:12月9日消息，韓國游戲公司Wemade旗下鏈游平臺WEMIX宣布立即實施回購銷毀活動，將在2022年12月9日至2023年3月8日的90天內將回購并銷毀價值1000萬美元的WEMIX代幣。此外，基金會還將采用并實施WEMIX通縮政策，所有WEMIX3.0平臺和基金會產生的投資收入的25%將按季度銷毀。

此前報道，11月24日，韓國數字資產交易平臺聯合協會（DAXA）決定對韓國游戲巨頭 WeMade旗下鏈游平臺代幣WEMIX停止交易支持，以保護投資者。受此影響，Bithumb、Upbit等多家韓國交易所宣布將下架WEMIX。[2022/12/9 21:33:37]

過程詳情圖

（2）Skim問題

Pair合約擁有一個skim函數（下方詳情），該函數會將pair合約中超出儲備量的代幣發送到調用者指定地址，數量計算方式是根據pair合約所擁有的代幣數量與儲備量之間的差值來實現的，這本身是一個平衡pair供應量的功能，但遇到其中一個代幣為通縮代幣，便可能出現問題。

通縮代幣在交易過程中會扣取一部分的費用，那么如果在skim函數中代幣轉賬過程扣取的費用是由from“買單”，會出現什么問題呢？

此時扣取的費用將會是pair的供應量，這樣就能提前向pair中轉入代幣，通過不斷的skim函數與sync函數消耗掉pair的供應量，使得該種代幣在pair中的價格不斷飆升，最終使用少部分該通縮代幣就能兌換出大量的另一種代幣（一般為usdt、eth等價值幣）。

彭博社：通縮前景或將對一些比特幣投資者造成打擊:4月20日，彭博社發布的一份新報告顯示，由于通縮的持續作用，大宗商品價格和美國國債收益率的下降可能會持續下去。通縮前景可能會對一些將比特幣視為對沖通脹和貨幣貶值的對沖工具的加密貨幣投資者造成打擊。（CoinDesk）[2021/4/20 20:38:33]

Skim函數代碼如下：

function skim(address to) external lock {address _token0 = token0;   address _token1 = token1;   _safeTransfer(_token0,to,IERC20(_token0).balanceOf(address(this)).sub(reserve0));  _safeTransfer(_token1, to, IERC20(_token1).balanceOf(address(this)).sub(reserve1));}整個調用過程如下：

（3）銷毀問題

共識實驗室吳少康：全球貨幣貶值能夠反襯出比特幣的通縮價值:4月14日 20:00，共識實驗室首席分析師吳少康做客MXC抹茶社區，就《減半利好已盡？比特幣能否帶動加密市場走出獨立行情》闡述精彩觀點。

吳少康認為：“美國進行無限量QE政策，實質上就是通過國債、MBS和商業票據三個渠道進行發錢，對全球各個國家進行一波收割，因為各個國家的美元儲備都不值錢了。那么各個國家也通過印鈔的方式，來抵御美元的貶值。全球貨幣貶值能夠反襯出比特幣的通縮價值，但價值并不等于價格，長期來看，比特幣的價值是提高的，而短期價格取決于現在人為操縱性較高的市場。“[2020/4/14]

該問題主要出現在使用“映射”機制的通縮代幣中，這種代幣的機制是存在兩種代幣余額存儲變量，分別為tOwned和rOwned，而tOwned存儲的是實際代幣數量，rOwned存儲的是通過currentRate變量放大映射之后的值。

rOwned的作用是什么呢？在文章開始說過，通縮代幣能激勵用戶持有代幣，這種激勵目的使用的方式便是對交易者扣除rOwned值，同時扣除rTotal，這樣其他用戶rOwned所占rTotal的比例就會被動增加，實現被動收益。（rOwned與rTotal可理解為用戶的股份以及總股份）

用戶查詢余額的方式有兩種情況，一種是除外地址，直接返回tOwned的值，另一種是非除外地址，返回rOwned/currentRate，而currentRate計算方式為rTotal/tTotal。如果有辦法使得rTotal減小，那么用戶查詢出的實際余額將變大，而如果pair查詢余額變大，則可以通過skim函數將多余的代幣轉移出去。

而該類通縮代幣存在一個deliver()函數，非除外地址可調用，該函數會將調用者的rOwned銷毀，并銷毀相同數量的_rTotal，使得所有非除外地址的余額查詢增加，pair如果非除外的話，便可使用上述方式套利攻擊。

3 通縮代幣相關安全事件剖析

（1）AES安全事件

北京時間2023年1月30日，Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測到，AES遭受到黑客攻擊，該項目便存在上述的Skim問題。

AES-USDT pair合約有一個skim函數，該函數可以強制平衡pair的供應量，將多余資金發送給指定地址。

攻擊者在本次攻擊過程中，首先向pair里面直接轉入了部分AES代幣，導致供應量不平衡，從而攻擊者調用skim函數時，會將多余的這部分代幣轉到攻擊者指定地址，而攻擊者在此處指定了pair合約為接收地址，使得多余的AES又發送到了pair合約，導致強制平衡之后pair合約依然處于不平衡狀態，攻擊者便可重復調用強制平衡函數，而AES發送過程會調用到AES合約的transfer函數，如下圖。

另外一點，當調用AES代幣合約的transfer函數時，若發送者為合約設置的pair合約時，會將一部分費用記錄在swapFeeTotal之中（如上圖過程），在最后的時候可以統一調用distributeFee函數（如下圖）將swapFeeTotal記錄的費用從pair中轉出，這里相比上述的過程，攻擊者可以不用做sync函數調用操作，而是在最后將費用轉移出去之后調用一次sync函數即可。

攻擊者經過反復的強制平衡操作，費用記錄變得異常大，基本接近pair的總余額，最后攻擊者調用distributeFee函數將pair里面的AES轉出，pair的AES余額變得非常少，導致攻擊者利用少量AES兌換了大量的USDT。

（2）BevoToken安全事件

北京時間2023年1月30日，Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測到，BevoToken遭受到閃電貸攻擊，該項目便是上面所說的“映射”機制通縮代幣。

由于BevoToken合約的balanceOf函數（如下圖）并非ERC20標準的函數，該函數在經過一些計算處理后再返回余額，而轉賬或其他操作可能使前后計算返回的余額不一致，當攻擊者在swap操作前后可憑借這個問題來操控pair合約的余額，從而skim出多余的代幣。

攻擊者首先在pancake貸出192.5個BNB，之后換成約302,877個BEVO代幣，再調用被攻擊合約的deliver函數（如下圖），此時_rTotal的值減小，_rTotal的值減小會導致_getRate中計算的值偏小，此時balanceOf返回的余額則會偏大，導致攻擊者能skim出多余的BEVO。

之后，攻擊者再將skim出的代幣進行deliver，此時_rTotal的值已經很小了，在進行_getRate計算時，會減去除外地址的rOwned（如下圖），此值固定且被攻擊者在之前通過burn異常放大的，在最開始_rTotal正常的時候，減去該值對結果的影響不大，但是現在_rTotal被攻擊者操控得異常小，再減去這個異常放大的固定值后，對結果產生了巨大的影響，第一次deliver導致pair計算結果偏大3倍，而第二次deliver之后，pair計算結果則偏大了數百倍，這也是為什么攻擊者獲得的代幣要比自己銷毀的代幣多得多的原因。

通縮項目在業務設計的時候一定要考慮到與pair交互的情況，自身的通縮機制是否會對pair產生影響。我們也建議相關項目上線前尋找專業的安全審計機構進行全面的代碼以及業務的安全審計工作。

Beosin

企業專欄

閱讀更多

金色財經 善歐巴

金色早8點

Odaily星球日報

歐科云鏈

Arcane Labs

深潮TechFlow

MarsBit

BTCStudy

澎湃新聞

Tags：PAIAIRNBSBSPAlgoPainterAIRTNTNBS幣BSPAY價格

比特幣價格實時行情