FASL-002 : Attackers can steal Challenger's reward tokens by manipulating the price pair(공격자가 가격쌍 조작을 통해 Challenger의 보상 토큰을 훔칠 수 있음) | Notion

취약점 요약

Flare의 Challenger 컨트랙트는 보상 토큰(Reward tokens, Vault tokens)을 받아서 DEX 라우터를 통해 스왑합니다.

그런데 이때 슬리피지(slippage) 제한이 전혀 설정되어 있지 않음 → 공격자는 스왑에서 어떤 가격이든 강제로 받아들이게 만들 수 있습니다.

따라서 공격자가 가격쌍을 조작하거나 샌드위치 공격을 하면, Challenger는 사실상 0에 가까운 토큰을 받고도 거래를 성공으로 인식해버리며,

결국 보상 토큰(VaultTokens0)을 그대로 공격자가 가져갈 수 있습니다.

타겟 위치

contracts/Liquidator.sol

알아야 하는 정보

Slippage (슬리피지)

스왑 거래에서 기대 가격 대비 실제 가격 차이를 허용하는 비율.

예: 슬리피지 0.5%면, 0.5% 이상 불리해지면 거래가 revert.
문제 상황
- 코드에서 amountOutMin = 0으로 고정 → 즉, 받는 토큰이 0개여도 거래가 성공 처리됨.
- 공격자는 이 점을 악용해 가격쌍을 인위적으로 조작하거나 샌드위치 공격을 통해 Challenger의 거래를 터무니없는 조건으로 체결시킬 수 있음.

문제의 코드

(, amountsRecv) = _blazeSwapRouter.swapExactTokensForTokens(
    _vaultAmount,
    0, // <---------- 최소 수령량(minAmount)이 0 → 0개 받아도 거래 성공
    toDynamicArray(address(_vaultToken), address(_fAsset)),
    address(this),
    block.timestamp
);

문제점

amountOutMin이 0으로 고정되어 있음.