SWAP:通过代码识别DeFi中的套利机会

概述

去中心化金融是一种创建于区块链上的金融，它不依赖券商、交易所或银行等金融机构提供金融工具，而是利用区块链上的智能合约进行金融活动。在DeFi中存在了大量的套利机会，包括但不限于清算、差价套利。本文将分析部分去中心化交易所以及聚合器在合约代码上可能存在的套利机会。

分析

Uniswap

Uniswap是一个采用了自动做市商模型的去中心化的加密货币交易平台，目前有两个流行的版本，分别是UniswapV2和UniswapV3，我们将分别分析其中可能存在的套利机会。

UniswapV2Router

在UniswapV2中，用户一般是通过Router合约与Pair合约以及Factory合约进行交互。通常来说Router只是会在交易中中转代币，而不会存储代币，但由于种种原因，如空投、转账失误导致Router合约中存储了某些代币。那么如何将这些代币提取出来呢？

通过分析UniswapV2Router?02合约的代码，发现存在?removeLiquidityETHSupportingFeeOnTransferTokens?函数：

该函数用于移除其中一个代币为WETH的流动性，其内部调用?removeLiquidity?函数时传入的to的地址为?address(this)，也就是会将两种代币先转移到Router合约中，然后Router合约再将两种代币转移到指定的地址。这里虽然转移的WETH的数量是?removeLiquidity?返回的，无法修改，但是转移的另一种Token的数量是?balanceOf(address(this))，即Router合约中的该代币的余额。

因此根据上述分析，我们能得到一个套利的流程：

监控到Router?02合约存在ERC?20代币；

监控到Router?02合约存在ERC?20代币；调用?addLiquidityETH?添加该ERC?20代币和WETH的流动性；调用?removeLiquidityETHSupportingFeeOnTransferTokens?移除流动性。局限性：

美国财长耶伦：加密交易所的失败表明需要监管:金色财经报道，美国财长耶伦表示，加密交易所的失败表明需要监管。在适用现有法规的地方，必须严格执行（加密）监管措施。加密市场也应受到同样的保护。政府需要迅速采取行动，填补监管空白。加密市场事件的溢出效应有限。美国金融稳定委员会最近的报告警告了传统金融系统和加密市场之间相互关联的风险。[2022/11/17 13:14:55]

如果该代币之前没有和WETH组流动性，当第一次添加流动性时会损失一小部分流动性；暂时未发现提取Router?02合约中的WETH和ETH的方法。UniswapV2Pair

UniswapV2Pair合约，即所谓的流动性池，存储着提供流动性的?2?种代币，因为Pair合约中使用的是reserve来记录余额而不是?balanceOf(address(this))，因此有人直接误转流动性代币到合约中时会出现balance和reserve出现差值，而Pair合约中存在平衡函数?skim，我们可以调用该函数将这差值数量的代币给提取出来：

可以看到该函数会将流动性池中两种流动性代币的balance和reserve差值数量的代币转移到to地址。

流动性池中除了这两种代币外，也会因为误转、空投等原因存在其他的ERC?20代币，如何提取这一部分的代币呢？

对Pair合约的代码分析后发现无法提取这一部分代币，只有一种情况例外：当流动性池中存在该池的LP代币时。

出现这种情况我们可以调用Pair合约的?burn?函数，移除流动性，取出相应的两种流动性代币：

UniswapV3SwapRouter

UniswapV3的SwapRouter合约中也会存在和UniswapV2Router一样的情况，存在ERC?20代币和ETH，但是幸运的是SwapRouter合约提供了几个函数可以方便提取其中的代币。

跑鞋运动品牌ASICS与STEPN合作推出新款跑鞋:11月4日消息，日本跑鞋运动品牌ASICS（亚瑟士）与Move to Earn应用STEPN合作推出ASICS X SOLANA UI系列跑鞋，特点是采用定制的限量版GT-2000 11跑鞋，购买者可有机会赢得限量版ASICS x STEPN GT-2000 NFT。GT-2000 11跑鞋将于11月4日至8日限时五天预购，将通过Solana Pay以200美元的USDC价格出售。当顾客购买此系列跑鞋时，他们将获得一个ASICS徽章，这个数字收藏品将解锁未来ASICS奖励和体验。（Decrypt）[2022/11/4 12:16:36]

提取ERC?20代币我们可以使用?sweepToken?函数：

提取ETH我们可以使用?refundETH?函数：

也能够直接调用?unwrapWETH?9??函数将WETH还原成ETH并提取出来：

以上是对UniswapV3SwapRouter合约的套利分析。

在对Uniswap?V3?Pool合约的代码进行分析后，发现没有办法提取其合约中的其他代币，也不存在如UniswapV2Pair合约中balance和reserve有差值的情况。

SushiSwap

安全团队：Acala项目方对aUSD池子的奖励倍率进行了修改，导致池子的奖励被放大:8月14日消息，波卡生态项目Acala因链上设置错误，导致aUSD增发。以下是慢雾安全团队分析：

1. 项目方在2022-08-13 22:23:12 (+UTC)调用了 update_dex_saving_rewards 对 aUSD 池子的奖励倍率进行了修改，修改为500000000000000000。

2. 在区块的 hook 函数 on_initialize 中会去调用 accumulate_dex_saving 函数,在函数中池子的奖励总量是由 dex_saving_reward_rate 乘上 dex_saving_reward_base，由于 dex_saving_reward_rate 在上一步中已经被放大了导致池子的奖励也被放大。

3. 最后用户领取到了错误的奖励。[2022/8/14 12:24:52]

SushiSwap最初是一个Uniswap的分叉项目，后来发展成为一个独立的生态系统，提供了许多不同的金融服务和产品。

因为SushiSwap和UniswapV2一样，因此上述的针对UniswapV2的套利手段对与SushiSwap也同样适用。

SushiXSwap

SushiXSwap是SushiSwap推出的基于LayerZero的全链交易协议，支持的网络包括?Optimism、Arbitrum、Fantom、BNB?Chain、Polygon?和?Avalanche。用户可以在支持的网络以及资产之间进行跨链交易。

如何提取SushiXSwap合约中的代币呢？

SushiXSwap中主要的功能都通过?cook?函数实现，该函数提供了一系列的操作，支持操作列表如下：

其中有一个操作?ACTION_DST_WITHDRAW_TOKEN，其代码实现如下：

Binance：此前暂停比特币提现是由小型硬件故障引起:6月14日消息，币安解释此前暂停比特币提现约3个小时的原因。币安已修复周一早些时候钱包整合节点上的几个小型硬件故障，这些待处理的合并交易的Gas费很低，这导致后来的提现交易（指待处理的合并UTXO）被积压，无法成功处理。

为了解决这些问题，币安表示必须改变逻辑，只从合并交易或成功的提现交易中获取成功的UTXO，此修复还将防止同样的问题再次发生。币安已恢复比特币网络提现。[2022/6/14 4:24:15]

首先将传入?cook?函数的data进行解码，然后判断amount是否等于?0?，等于?0?则将amount的值设为该合约的ERC?20代币的余额或者ETH的余额。最后调用?_transferTokens?将代币转移到指定的地址：

因此我们只需要构造传入?cook?函数的actions和datas，即将actions设置为?ACTION_DST_WITHDRAW_TOKEN?，在data中构造想要转移的代币、接收地址、数量，即可转移出SushiXSwap合约中的代币。

SushiBentoBox

SushiBentoBox是SushiSwap生态系统中的一个组件。BentoBox是一个高度灵活的去中心化金融利率优化产品。简单来说，它是一个允许用户存储、借用和赚取利息的智能合约平台。BentoBox的主要目的是优化用户在DeFi领域中的收益。

以太坊上的BentoBox合约中存储了大量了代币，那么该合约是否存在套利的空间呢？

在BentoBox合约中用户可以通过?deposit?函数进行存款操作，函数的实现如下：

可以看到用户传入指定的代币地址，扣款地址，接收地址，数量，股份数量，函数首先做了一系列校验，然后将amount或者share进行转换，关键点在195-198行，这里做了一个校验：amount<=_tokenBalanceOf(token).sub(total.elastic)。

Michael Saylor：相信一个 BTC 有朝一日会价值数百万美元:金色财经报道，在进行的 “The Capital”会议期间，MicroStrategy 首席执行官Michael Saylor被问及是否对资产负债表上有 130,000 BTC 没有获得可观的利润感到难过。Saylor相信一个 BTC 有朝一日会价值数百万美元，这使得当前的低迷对他的长期愿景没有什么影响。Saylor表示，他并不关注 BTC 从创纪录的 68,800 美元跌至目前的 29,000 美元，尽管它使 BTC MicroStrategy 的储备价值减少了 40 亿美元。

Saylor称交易者的心态是愚蠢的，并引用了亚马逊在 2000 年代初亏损的著名故事。Saylor表示，试图抓住市场时机是一件愚蠢的事情，Saylor举了比尔·盖茨、杰夫·贝佐斯、埃隆·马斯克、马克·扎克伯格和拉里·佩奇的例子，他们通过开发真正的产品而不是交易赚取了数十亿美元。（U.today）[2022/5/28 3:46:30]

在BentoBox合约中某种代币的余额使用的是?total.elastic?来记录，类似UniswapPair合约中的reserve，某些情况下会和?_tokenBalanceOf(token)?产生差值，我们可以利用?deposit?函数这里的特性，将差值部分真实转换成自己在BentoBox合约中的余额。

因此我们传入参数时将token设置为存在差值的代币地址，将amount的值设置为差值，然后将from设置为BentoBox合约的地址，将to设置为自己的地址，在207?行时由于地址为BentoBox合约地址，因此不会进行转账，只是平衡了total.elastic?和?_tokenBalanceOf(token)?的值，将其转换为to地址在合约内的余额。

DODO

DODO是一个去中心化交易平台，使用独创的主动做市商算法为Web3资产提供高效的链上流动性。DODO既自己提供流动性，也聚合其它交易所的流动性。

DODO有一系列合约，其中用户会通过DODO?V2?Proxy?02合约进行代币的兑换。和UniswapRouter合约类似，该合约也会因为各种原因存在一些代币，我们应当如何提取这些代币？

DODO?V2?Proxy?02?

在DODO?V2?Proxy?02合约中存在?externalSwap函数，用来调用DODO聚合的外部平台进行兑换，如?0x?，?1inch，代码实现如下：

1719-1721?行在对传入的参数做校验，然后?1724?行校验fromToken是否为ETH，不是的话则会将调用者的代币转移到合约中，然后进行授权，在分析了DODOAPPROVE?合约的代码后发现只需要将fromTokenAmount设置为?0?即可绕过：

然后会对调用的外部合约做校验，是白名单内的才能够调用，这里的?swapTarget，calldataConcat都是由用户可控的，因此可以将?swapTarget?设置为0x或者1inch的合约地址，然后?calldataConcat?设置为其合约的view函数的编码，从而让返回的值为true，也能通过后面的require校验：

接下来会将合约中的toToken，全部转移给调用者，这里的toToken可以是ERC?20代币，也可以是ETH，发送完后会进行最小的预期数量校验，我们将?minReturnAmount?的值设置为非常小的值即可通过。最后两个函数调用无关紧要。

通过以上的步骤我们就能够提取出DODO?V2?Proxy?02合约中的ERC?20代币以及ETH。

1inch

1inch是一个去中心化交易所聚合器，它从多个DEX中汇集流动性，以便为用户提供最佳的代币兑换价格。通过整合来自不同来源的流动性，1inch帮助用户优化交易并在各个平台之间找到最优惠的价格。1inch的智能合约自动在各个去中心化交易所之间进行交易，使用户能够轻松地在不同交易所之间获取最佳价格和最低滑点。此外，1inch还提供了其他功能，如流动性挖矿和治理代币。

1inch的主要合约是AggregationRouter，现在使用较多的是V?4和V?5版本，这两个合约也会因为各种原因存在一些代币，我们可以通过构造的传入函数中的参数，提取合约中的代币。

AggregationRouterV?5?

AggregationRouterV?5合约存在?swap?函数，其实现如下：

校验了desc中的minReturnAmount后，从desc中获取srcToken和dstToken，接下来986-997?行可以通过构造desc结构体中的flags和srcToken进行绕过：

然后执行函数?_execute，这里会进行call调用，并会校验执行状态，由于executor由用户传入，因此这里我们可以使用?0?地址进行绕过：

然后获取合约中dstToken的余额。1007-1018?行我们可以构造desc中flags以及minReturnAmount进行绕过：

最后会将合约中的dstToken余额都转到dstReceiver地址中，该地址也由用户控制：

通过以上的步骤，我们能构造传入?swap?函数的参数从而将AggregationRouterV?5合约中的代币提走。

AggregationRouterV?4?

AggregationRouterV?4与AggregationRouterV?5差别不大，AggregationRouterV?4中也存在?swap?函数，实现如下：

可以发现跟AggregationRouterV?5的?swap?函数的实现是一样的，只是AggregationRouterV?5对call进行了优化，因此使用和AggregationRouterV?5一样的方法即可提取出存在AggregationRouterV?4合约中的代币。

总结

本文简单介绍了部分去中心化交易所以及聚合器，并探讨了其中可能存在的套利，从合约代码层面分析了套利的原理，但在实际中能否成功还和诸多因素相关，如GAS，节点速度等。

标签：SWAPTEROUTROUTESnowSwapFIGHTER币HoryouTokenroute币今日价格

BTC热门资讯