취약점 요약

Flare의 Challenger 컨트랙트에는 runArbitrageWithCustomParams()라는 함수가 있습니다.

이 함수는 차익거래를 실행하기 위해 설계된 것인데, public하고, 내부에서 사용하는 파라미터(_agentVault, _flashLender, _blazeSwapRouter, _to)에 대한 검증이 전혀 없습니다.

공격자는 이 점을 이용해 가짜 컨트랙트(FakeVault)를 넣고 호출하여:

• Challenger가 가진 토큰을 즉시 송금(transfer)받을 수 있고,
• 동시에 무제한 승인 권한(approve)까지 획득하여 앞으로 들어올 토큰까지도 무한정 빼낼 수 있는 상황을 만들 수 있습니다.

타겟 위치

• contracts/Liquidator.sol

알아야하는 정보

• Challenger: 실제 돈(토큰)을 보유하고, 청산/차익거래를 실행하는 컨트랙트.
• Liquidator: Challenger가 상속받는 부모 컨트랙트. 차익거래 루틴이 들어 있음.
• runArbitrageWithCustomParams: 누구나 호출 가능한 public 함수. 아래 4개 주소를 호출자가 직접 넣어줄 수 있음:
  • _agentVault (금고/자산관리 관련)
  • _flashLender (플래시론 제공자)
  • _blazeSwapRouter (DEX 라우터)
  • _to (수익 전송 대상)

문제의 함수

function runArbitrageWithCustomParams(
    address _agentVault,
    IERC3156FlashLender _flashLender,
    IBlazeSwapRouter _blazeSwapRouter,
    address _to
) public {
    // 청산 시작
    IIAssetManager _assetManager =
        IIAgentVault(_agentVault).assetManager();
    _assetManager.startLiquidation(address(_agentVault));

    // 차익거래 데이터 준비
    Ecosystem.Data memory _data = Ecosystem.getData(
        _agentVault,
        address(_blazeSwapRouter),
        address(_flashLender)
    );

    _runArbitrageWithData(_data);

    // 수익 전송
    uint256 earnings =
        IERC20(_data.vaultToken).balanceOf(address(this));
    IERC20(_data.vaultToken).transfer(_to, earnings);
}

• _agentVault, _flashLender, _blazeSwapRouter, _to → 호출자가 마음대로 입력.