通过代码看出DeFi中的套利机会

去中心化金融（英语：Decentralized finance，俗称 DeFi）是一种创建于区块链上的金融，它不依赖券商、交易所或银行等金融机构提供金融工具，而是利用区块链上的智能合约进行金融活动。在 DeFi 中存在了大量的套利机会，包括但不限于清算、差价套利。本文将分析部分去中心化交易所（DEX）以及聚合器（Aggregator）在合约代码上可能存在的套利机会。

Uniswap 是一个采用了自动做市商（AMM）模型的去中心化的加密货币交易平台，目前有两个流行的版本，分别是 Uniswap V2 和 Uniswap V3，我们将分别分析其中可能存在的套利机会。

Uniswap V2 Router

在 Uniswap V2 中，用户一般是通过 Router 合约与 Pair 合约以及 Factory 合约进行交互。通常来说 Router 只是会在交易中中转代币，而不会存储代币，但由于种种原因，如空投、转账失误导致 Router 合约中存储了某些代币。那么如何将这些代币提取出来呢？

通过分析 Uniswap V2 Router 02 合约的代码，发现存在 removeLiquidityETHSupportingFeeOnTransferTokens 函数：

该函数用于移除其中一个代币为 WETH 的流动性，其内部调用 removeLiquidity 函数时传入的 to 的地址为 address(this)，也就是会将两种代币先转移到 Router 合约中，然后 Router 合约再将两种代币转移到指定的地址。这里虽然转移的 WETH 的数量是 removeLiquidity 返回的，无法修改，但是转移的另一种 Token 的数量是 balanceOf(address(this))，即 Router 合约中的该代币的余额。

因此根据上述分析，我们能得到一个套利的流程：

监控到 Router 02 合约存在 ERC 20 代币；

BSC-WBNB-WOOF交易对通过代币后门跑路，涉及金额约11.5万美元:2月6日消息，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，BSC-WBNB-WOOF交易对被攻击，交易哈希：0xea5cf9199d23a9108d84e9204cb13795a480b34a6e4ef448245a1452f69fe781。

据Beosin安全技术人员分析，该攻击是由于WOOF代币合约的后门代码导致的，WOOF的address(jZKbvD)权限地址可以使用transferFrom函数0授权转移任何地址的WOOF代币。攻击者通过transferFrom函数转移走了BSC-WBNB-WOOF交易对内的WOOF代币，并更新池子的储备量，接着使用大量的WOOF代币兑换交易对内的所有WBNB。

目前涉及资金约11.5万美元，大部分通过攻击者地址（0x9b07f0488390a2d9c7af9ae40e0e64f31489006d）分散到其他地址。[2023/2/6 11:50:18]

调用 addLiquidityETH 添加该 ERC 20 代币和 WETH 的流动性；

调用 removeLiquidityETHSupportingFeeOnTransferTokens 移除流动性。

局限性：

如果该代币之前没有和 WETH 组流动性，当第一次添加流动性时会损失一小部分流动性（MINIMUM_LIQUIDITY）；

暂时未发现提取 Router 02 合约中的 WETH 和 ETH 的方法。

Uniswap V2 Pair

Uniswap V2 Pair 合约，即所谓的流动性池，存储着提供流动性的 2 种代币，因为 Pair 合约中使用的是 reserve 来记录余额而不是 balanceOf(address(this))，因此有人直接误转流动性代币到合约中时会出现 balance 和 reserve 出现差值，而 Pair 合约中存在平衡函数 skim，我们可以调用该函数将这差值数量的代币给提取出来：

NFT游戏Cyber??classic通过代币融资10万美元:1月27日消息，NFT游戏Cyber??classic已经完成CLASS代币私募，共募集232 BNB，价值10万美元。[2022/1/27 9:17:00]

可以看到该函数会将流动性池中两种流动性代币的 balance 和 reserve 差值数量的代币转移到 to 地址。

流动性池中除了这两种代币外，也会因为误转、空投等原因存在其他的 ERC 20 代币，如何提取这一部分的代币呢？

对 Pair 合约的代码分析后发现无法提取这一部分代币，只有一种情况例外：当流动性池中存在该池的 LP 代币时。

出现这种情况我们可以调用 Pair 合约的 burn 函数，移除流动性，取出相应的两种流动性代币：

Uniswap V3 SwapRouter

Uniswap V3 的 SwapRouter 合约中也会存在和 Uniswap V2 Router 一样的情况，存在 ERC 20 代币和 ETH，但是幸运的是 SwapRouter 合约提供了几个函数可以方便提取其中的代币。

提取 ERC 20 代币我们可以使用 sweepToken 函数：

提取 ETH 我们可以使用 refundETH 函数：

也能够直接调用 unwrapWETH 9  函数将 WETH 还原成 ETH 并提取出来：

Web3人才网络Braintrust通过代币私募融资1亿美元，Coatue领投:12月9日消息，Web3人才网络Braintrust通过代币私募融资1亿美元，Coatue领投，Tiger Global、True Ventures、Blockchain Ventures、HashKey等参投。

据悉，Braintrust旨在将公司与Web3领域的技术人员联系起来，该公司声称拥有70多万名社区成员。根据周四的公告，Braintrust将使用这些资金来扩大其网络，并通过赠款为社区项目提供资金。该公司表示，其70多万会员都有资格申请旨在改善网络的项目资助。（The Block）[2021/12/9 7:28:57]

以上是对 Uniswap V3 SwapRouter 合约的套利分析。

在对 Uniswap V3 Pool 合约的代码进行分析后，发现没有办法提取其合约中的其他代币，也不存在如 Uniswap V2 Pair 合约中 balance 和 reserve 有差值的情况。

SushiSwap 最初是一个 Uniswap 的分叉项目，后来发展成为一个独立的生态系统，提供了许多不同的金融服务和产品。

因为 SushiSwap 和 Uniswap V2 一样，因此上述的针对 Uniswap V2 的套利手段对与 SushiSwap 也同样适用。

SushiXSwap

SushiXSwap 是 SushiSwap 推出的基于 LayerZero 的全链交易协议，支持的网络包括 Optimism、Arbitrum、Fantom、BNB Chain、Polygon 和 Avalanche。用户可以在支持的网络以及资产之间进行跨链交易。

如何提取 SushiXSwap 合约中的代币呢？

SushiXSwap 中主要的功能都通过 cook 函数实现，该函数提供了一系列的操作，支持操作列表如下：

Biconomy通过代币销售筹集1150万美元:金色财经报道，多链交易网络Biconomy通过在CoinList上公开出售其原生代币BICO筹集了1150万美元。Biconomy此前于7月从包括Coinbase Ventures和火币创新实验室在内的投资者那里筹集了900万美元。[2021/10/29 21:06:46]

其中有一个操作 ACTION_DST_WITHDRAW_TOKEN，其代码实现如下：

首先将传入 cook 函数的 data 进行解码，然后判断 amount 是否等于 0 ，等于 0 则将 amount 的值设为该合约的 ERC 20 代币的余额或者 ETH 的余额。最后调用 _transferTokens 将代币转移到指定的地址：

因此我们只需要构造传入 cook 函数的 actions 和 datas，即将 actions 设置为 ACTION_DST_WITHDRAW_TOKEN ，在 data 中构造想要转移的代币、接收地址、数量，即可转移出 SushiXSwap 合约中的代币。

Sushi BentoBox

Sushi BentoBox 是 SushiSwap 生态系统中的一个组件。BentoBox 是一个高度灵活的去中心化金融（DeFi）利率优化产品。简单来说，它是一个允许用户存储、借用和赚取利息的智能合约平台。BentoBox 的主要目的是优化用户在 DeFi 领域中的收益。

以太坊上的 BentoBox 合约中存储了大量了代币，那么该合约是否存在套利的空间呢？

动态 | 门罗币网站钱包通过代码审计 安全漏洞已修复:据Cointelegraph报道，门罗币网站钱包XMRWallet宣布，已通过区块链策略和科技顾问集团New Alchemy对其进行的代码审计，“一些潜在的漏洞”现已得到修复，其风险得到缓解。

据悉，审计对象包括其网站流量和用户界面等。[2018/7/25]

在 BentoBox 合约中用户可以通过 deposit 函数进行存款操作，函数的实现如下：

可以看到用户传入指定的代币地址，扣款地址，接收地址，数量，股份数量，函数首先做了一系列校验，然后将 amount 或者 share 进行转换，关键点在 195 - 198 行，这里做了一个校验 ：amount DODO V2 Proxy 02 

在 DODO V2 Proxy 02 合约中存在 externalSwap函数，用来调用 DODO 聚合的外部平台进行兑换，如 0x ， 1inch，代码实现如下：

1719-1721 行在对传入的参数做校验，然后 1724 行校验 fromToken 是否为 ETH，不是的话则会将调用者的代币转移到合约中，然后进行授权，在分析了 DODOAPPROVE 合约的代码后发现只需要将 fromTokenAmount 设置为 0 即可绕过：

然后会对调用的外部合约做校验，是白名单内的才能够调用，这里的 swapTarget，calldataConcat都是由用户可控的，因此可以将 swapTarget 设置为 0x 或者 1inch 的合约地址，然后 calldataConcat 设置为其合约的 view 函数的编码，从而让返回的值为 true，也能通过后面的 require 校验：

接下来会将合约中的 toToken，全部转移给调用者，这里的 toToken 可以是 ERC 20 代币，也可以是 ETH，发送完后会进行最小的预期数量校验，我们将 minReturnAmount 的值设置为非常小的值即可通过。最后两个函数调用无关紧要。

通过以上的步骤我们就能够提取出 DODO V2 Proxy 02 合约中的 ERC 20 代币以及 ETH。

1inch是一个去中心化交易所（DEX）聚合器，它从多个 DEX 中汇集流动性，以便为用户提供最佳的代币兑换价格。通过整合来自不同来源的流动性，1inch帮助用户优化交易并在各个平台之间找到最优惠的价格。1inch的智能合约自动在各个去中心化交易所之间进行交易，使用户能够轻松地在不同交易所之间获取最佳价格和最低滑点。此外，1inch还提供了其他功能，如流动性挖矿和治理代币。

1inch 的主要合约是 AggregationRouter，现在使用较多的是 V 4 和 V 5 版本，这两个合约也会因为各种原因存在一些代币，我们可以通过构造的传入函数中的参数，提取合约中的代币。

AggregationRouterV 5 

AggregationRouterV 5 合约存在 swap 函数，其实现如下：

校验了 desc 中的 minReturnAmount 后，从 desc 中获取 srcToken 和 dstToken，接下来 986-997 行可以通过构造 desc 结构体中的 flags 和 srcToken 进行绕过：

然后执行函数 _execute， 这里会进行 call 调用，并会校验执行状态，由于 executor 由用户传入，因此这里我们可以使用 0 地址进行绕过：

然后获取合约中 dstToken 的余额。1007-1018 行我们可以构造 desc 中 flags 以及 minReturnAmount 进行绕过：

最后会将合约中的 dstToken 余额都转到 dstReceiver 地址中，该地址也由用户控制：

通过以上的步骤，我们能构造传入 swap 函数的参数从而将 AggregationRouterV 5 合约中的代币提走。

AggregationRouterV 4 

AggregationRouterV 4 与 AggregationRouterV 5 差别不大，AggregationRouterV 4 中也存在 swap 函数，实现如下：

可以发现跟 AggregationRouterV 5 的 swap 函数的实现是一样的，只是 AggregationRouterV 5 对 call 进行了优化，因此使用和 AggregationRouterV 5 一样的方法即可提取出存在 AggregationRouterV 4 合约中的代币。

本文简单介绍了部分去中心化交易所以及聚合器，并探讨了其中可能存在的套利，从合约代码层面分析了套利的原理，但在实际中能否成功还和诸多因素相关，如 GAS，节点速度等。

如何从 defi 中捡钱

What Is Uniswap

SUshi Academy

About DODO

1inch aggregation protocol

At Eocene Research, we provide the insights of intentions and security behind everything you know or don't know of blockchain, and empower every individual and organization to answer complex questions we hadn't even dreamed of back then.

了解更多: Website | Medium | Twitter

来源：星球日报

Odaily星球日报

媒体专栏

阅读更多

金色财经 善欧巴

Chainlink预言机

白话区块链

金色早8点

欧科云链

深潮TechFlow

BTCStudy

MarsBit

Arcane Labs

标签：NBSBSPSWAPTERnbs币最新消息BSPAY币AdaSwapMonsterra

DOGE热门资讯