Web3底层语言（二）：Move如何避免闪电贷重入攻击？

区块链 证券研究报告|行业专题研究 2022年12月29日 Web3底层语言（二）：Move如何避免闪电贷重入攻击？ 上一篇报告从底层语言特点，对比了Move和Solidity（以太坊）的优 增持（维持） 势和特点。作为Web3的基础性研究，本篇从闪电贷这一最具特色的应 用角度出发，分析了以太坊和Move分别如何实现闪电贷，Move怎样规避了闪电贷攻击？ 以太坊合约之间的交互是通过互通消息实现的状态一致，且允许重入、动态调用，这一特点为实现闪电贷提供了基础。期间，合约之间的函数可 以互相来回调用——调用过程中会发生控制权转移。如果DeFi项目平台合约有漏洞，套利者能够利用其合约的恶意代码调用相应函数进行资产盗取— —利用合约之间的状态同步信息差，在一个流程未结束时双花资产（以太坊资产只是赋值），或者重复执行函数（本该不被允许的逻辑）进行盗取。 行业走势 16% 0% -16% -32% 通信沪深300 重入攻击的前提是攻击者部署的合约存在恶意代码，但最核心的因素是： 2021-122022-052022-082022-12 1）以太坊合约调用时控制权存在转移，这为恶意合约提供了主动权； 作者 2）且流程在结束之前可以重入（重复调用），恶意合约可以利用漏洞反复调用函数实现资产盗取（如一笔取款流程未结束时反复提取很多次）； 3）加上以太坊账户资产是以数值余额的形式存在，因此存在反复盗取资产（双花）的可能，或者在流程结束之前恶意合约就可以修改相关账户资产余额数值实现盗取。 Move提出了闪电贷的新一种运行流程——烫手山芋模式，根本上弃用 分析师宋嘉吉 执业证书编号：S0680519010002邮箱：songjiaji@gszq.com 分析师任鹤义 执业证书编号：S0680519040002邮箱：renheyi@gszq.com 相关研究 可重入。“烫手山芋（hot-potato）”模式是一种没有key、store、copy 和drop能力的结构，是Move程序在交易执行期间仅使用一次的结构。由于没有drop、key或store能力，因此烫手山芋只能通过调用“销毁”函数来完结流程——这就如其名所示意的一样，这是一块烫手山芋，在流程中任何处置都是“烫手”的，只能交给销毁函数来完结。具体流程如下： 1）闪电贷智能合约在工作时会创建了“烫手山芋”（hot-potato）的收据（receipt）； 2）套利者向闪电贷合约贷款时，闪电贷合约发送贷款资金和一个烫手山芋收据（receipt）； 3）套利者利用贷款资金进行套利操作； 4）套利者还款时，调用还款函数（repay），将资金和收据（receipt）发给还款函数，收据被还款函数接收后销毁。 闪电贷完成的前提的最后正确还款、流程结束，在流程结束之前恶意合约可以在以太坊系统实现重复调用、修改相应的资产账户赋值实现盗取。Move系统闪电贷流程结束的前提除了正确归还资金之外，还需要将烫手山芋这个资源进行一次性回收销毁处理，这确保了闪电贷的原子性。 风险提示：区块链商业模式落地不及预期；监管政策的不确定性。 1、《通信：重视优质海缆超跌与运营商重估两大投资机会》2022-12-25 2、《通信：后5G时代的破局之路——2023年度策略 2022-12-19 3、《通信：数据资源进表，运营商价值重估的催化剂 2022-12-11 请仔细阅读本报告末页声明 内容目录 1.核心观点3 2.以太坊闪电贷的基础：动态调用与可重入3 3.Move与Solidity闪电贷的具体实现有怎样的区别？5 3.1.以太坊闪电贷双刃剑：动态调用和可重入性5 3.2.MOVE的“烫手山芋”：没有重入的闪电贷7 风险提示8 图表目录 图表1：通过FURUCOMBO完成闪电贷智能合约执行4 图表2：TheDAO攻击流程5 图表3：TheDAO攻击流程6 图表4：Move闪电贷的“烫手山芋”模式确保还款7 1.核心观点 闪电贷作为以太坊DeFi生态最具特色的应用，其基础是以太坊使用的Solidity语言允许动态调用和重入。虽然这种动态调用是智能合约开放性、可组合性的重要体现，但其带来的控制权转移和对合约函数的重复调用带来了不小的安全隐患，行业内利用闪电贷攻击有漏洞的DeFi资金池事件时有发生。由于Move语言不允许动态调用和重入，它使用一种“烫手山芋”模式很简单地实现了闪电贷，因此完全可以避免以太坊那样的安全问题。 两种系统在生态应用的工作模式有着明显的区别，这种差别的根本在于Move底层语言的特点，我们在前一篇报告《Web3底层语言：Move弥补了Solidity哪些不足？》已有详述。本篇报告从闪电贷应用角度来比较一下两者实现应用的不同玩法。 2.以太坊闪电贷的基础：动态调用与可重入 闪电贷（FlashLoan）是一种原生的DeFi新产物，可以理解为极速贷款。用户只需要在同一笔交易（区块）中完成借贷、套利、偿还并支付一笔手续费，由于是原子交易，那么借款人无需抵押任何资产即可实现借贷，提供了一种无本金套利方案。 我们在上一篇报告《Web3底层语言：Move弥补了Solidity哪些不足？》中提到的：“对于模块化和合约组合性方面，Solidity（如以太坊）上面的Contract合约通过library （相当于静态库）进行消息的传递，从而实现Contract合约之间的调用、交互。而Move 语言使用了模块(module)和脚本(script)的设计，前者类似于Contract合约，Move语言的合约组合性则是模块之间的组合，通过传递资源（即前文提到的resources）。关于组合性方面，Solidity和Move的区别非常明显。” 以太坊合约之间的交互是通过互通消息实现的状态一致，且允许重入、动态调用，就是说合约之间的函数可以互相来回调用——调用过程中会发生控制权转移。这一特点为实现闪电贷提供了基础。 具体来说，在一个以太坊交易中，可以进行转账操作以及其他一些列合约操作，通过调用智能合约中的功能函数，执行多项复杂功能——也就是说，一笔基于以太坊的交易可以融合一系列复杂交易：将借款、套利、偿还等一系列交易操作融合到一起成为可能。FlashLoan中所有操作都在一个区块时间中完成，按照现在的以太坊的出块速度，Merge后也就是12秒——核心并非是12秒，而是这一系列的交易要能够最终盈利并偿还，如果没有做到这一点，这笔交易就不会被打包写入区块，相当于借款人借款、套利（失败）这些操作并不是有效交易，只是临时状态——即原子交易。因此，用户必须通过编程将需要执行的所有步骤形成一项智能合约交易并完成借贷、使用和偿还的三个步骤。 上述复杂的交易操作由几个合约之间的动态调用实现，且这种调用是可重入的（也就是可以反复调用）。 目前用户也可以通过如FURUCOMBO这一类第三方项目，对闪电贷完成更简易的插件性编程，无需实际编写代码完成智能合约的设计，最终实现闪电贷需要的全套操作。具体的套利流程如下图所示（利用FURUCOMBO平台，具体兑价均为示例），目前Kyberswap 平台上的价格情况1sUSD=0.9927DAI，而Uniswap上1DAI=1.2411sUSD，用户发现这两个平台的DAI-sUSD交易对价格存在较大的套利空间，即可通过FURUCOMBO的界面，设计套利过程。包括：1、从AAVE借贷平台的闪电贷功能借出100DAI；2、通过Uniswap将100DAI兑换成约122个sUSD代币；3、通过Kyberswap平台将sUSD代币兑换成约122DAI代币；4、偿还从AAVE借出的100DAI代币以及手续费0.09DAI；5、整个利用闪电贷的套利流程在一个以太坊交易内完成，并获利约22DAI。 图表1：通过FURUCOMBO完成闪电贷智能合约执行 资料来源：docs.furucombo.app/，国盛证券研究所 如果在这一笔以太坊交易内借贷的资金没有得到偿还，那么整笔借贷交易不会被打包进入区块中，相当于借贷并没有实际发生，所以借贷方的资金不会受任何影响——中间的借贷和套利过程只是临时状态，并未被矿工打包确认。基于闪电贷的特性和时效要求，目前其最广泛的应用是套利交易。套利者无需自身使用资产进行套利操作，只需要通过闪电贷获得所需的资金量完成套利交易，并及时偿还借贷的资金。这极大的降低了套利者的准入门槛，因为理论上任何一个人都可以成为套利者，并且拥有没有上限的套利资金进行操作。 从上述流程可以看到，以太坊合约控制权在FURUCOMBO闪电合约-套利者账户合约 -Uniswap合约-Kyperswap合约-闪电贷合约之间切换，且可以进行动态调用相应的函数，如果DeFi项目平台合约有漏洞，套利者能够利用其合约的恶意代码调用相应函数进行资产盗取——利用合约之间的状态同步信息差，在一个流程未结束时双花资产（以太坊资产只是赋值），或者重复执行函数（本该不被允许的逻辑）进行盗取。 对于Move生态，由于资产并非简单的赋值，且禁止动态调用和可重入，从根本上杜绝了风险，其具体实现我们在后面会阐述。 3.Move与Solidity闪电贷的具体实现有怎样的区别？ 3.1.以太坊闪电贷双刃剑：动态调用和可重入性 从实现方式上来看，以太坊EVM（基于Solidity）具有动态调度，可以通过可重入实现闪电贷。如我们在上一篇报告《Web3底层语言：Move弥补了Solidity哪些不足？》中提到的： “以太坊（Solidity）的资产是由相应的合约控制，如果把TokenA合约比喻为保险箱，保险箱会给所有用户分配一个数值余额，来表达用户所有拥有的TokenA资产数量，但资产本身还是放在TokenA合约的保险箱内。而Move用户账户本身就是一个单独的大保险箱，由用户自己控制，所有的Token资产都放在这个保险箱内。且这些Token并不是以数字的形式存在，而是不可复制的、权限受用户控制的资源（类型）。” 因此以太坊EVM实现闪电贷套利的流程是： 1）用户将调用控制权交给闪电贷合约； 2）闪电贷合约调用来自外部的套利合约程序中的执行函数，将请求的借款金额发送给套利合约，套利合约进行套利操作； 3）套利合约完成套利，将借款归还给闪电贷合约，执行函数完成工作，控制权还给闪电贷合约； 4）闪电贷合约检查还款金额是否正确，正确则套利交易成功，否则失败。 在上面这个过程中，相应的函数是动态调用的，闪电贷合约需要检查归还金额是否正确才会结束，因此控制权的转移过程是随时可以发生的，也就是可重入的——同时需要注意的事，以太坊账户资产是以数值余额的形式存在，重入会带来双花的可能，这也是存 在漏洞的地方。调用外部合约的主要危险之一是它们可以接管控制，而这些来自外部的合约程序一旦有漏洞，攻击者可以通过反复调用实现攻击，即可重入攻击。 图表2：TheDAO攻击流程 资料来源：国盛证券研究所整理 可重入攻击造就了以太坊历史上最严重攻击之一，直接导致了以太坊分叉，即2016年6月17日的TheDAO崩溃事件。黑客部署了一个合约，作为“投资者”在TheDAO中储存一些ETH。然后黑客通过调用TheDAO合约中的withdraw函数，使得TheDAO合约给黑客提款，由于黑客合约（fallback函数）存在恶意漏洞——其没有结束的逻辑，于是TheDAO始终未能完成提款（此时TheDAO并不知道黑客收到了提款并将其账户余 额变为0）并拿回控制权，黑客通过不断调用withdraw函数发送超过其初始存款ETH 数量。 在闪电贷攻击事件中，攻击者往往通过恶意合约实现可重入攻击。如2022年3月16日，黑客通过闪电贷借款，利用借贷项目HundredFinance的漏洞实时重入攻击，最终获利约2363ETH。具体流程并不复杂，由于HundredFinance是先转账后记账，黑客通过闪电贷借款，利用攻击合约存入HundredFinance借款池实现抵押贷款，而攻击合约部署的onTokenTransfer函数在