智能合约审计之假充值漏洞

最新推荐文章于 2021-08-06 09:56:54 发布
最新推荐文章于 2021-08-06 09:56:54 发布
阅读量3.2k 收藏 5
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/118784599
版权

漏洞细节 

以太坊代币交易回执中status字段是0x1(true)还是 0x0(false),取决于交易事务执行过程中是否抛出了异常(比如使用了 require/assert/revert/throw等机制),当用户调用代币合约的transfer函数进行转账时,如果transfer函数正常运行未抛出异常,该交易的 status即是0x1(true)

如图代码,某些代币合约的 transfer 函数对转账发起人(msg.sender)的余额检查用的是 if 判断方式,当 balances[msg.sender] < _value 时进入else逻辑部分并return false,最终没有抛出异常,我们认为仅if/else这种温和的判断方式在transfer这类敏感函数场景中是一种不严谨的编码方式,而大多数代币合约的transfer函数会采用 require/assert 方式,当不满足条件时会直接抛出异常,中断合约后续指令的执行

我们很难要求所有程序员都能写出最佳安全实践的代码,这种不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题,攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,如果交易所仅判断如 TxReceipt Status是success(即上文提的status为0x1(true)的情况)就以为充币成功,就可能存在"假充值"漏洞~

参考示例 TX:https://etherscan.io/tx/0x9fbeeba6c7c20f81938d124af79d27ea8e8566b5e937578ac25fb6c68049f92e

漏洞实例

下面以Redex去中心化交易ERC223代币假充值为例做简单介绍:

官网:https://radex.ai/ 

Redex去中心化交易所搭建在以太坊上面,合约地址如下:

https://cn.etherscan.com/address/0x9462eeb9124c99731cc7617348b3937a8f00b11f#code 

缺陷函数为tokenFallback函数:

 function tokenFallback(address _from, uint _value, bytes /* _data */) {
    // ERC223 token deposit handler
    	balances[_from][msg.sender] = balances[_from][msg.sender].add(_value);
    	Deposit(msg.sender, _from, _value, now);
  }

此函数是用于ERC223代币在对Radex交易所转账后执行回调操作的,当接收到用户的ERC223代币,Radex交易所就会在自己的体系里面给用户标记上其所拥有代币资产,但是在这个tokenFallback函数没有经过任何验证,在接收到ERC223代币的请求后就直接给用户标记资产了,这里会有几点安全问题:

  • 代币自己作恶,如果代币自己向此合约恶意调用tokenFallback方法的话,那么此交易所就会凭空标记无数代币资产 
  • 代币代码缺陷,如果代币存在相关漏洞,可以使代币向此合约的tokenFallback函数发起请求的话,也会造成此交易所凭空标记无数代币资产,而并没有受到任何代币。

以第二点为例: 

先找一个存在call注入漏洞的代币

https://cn.etherscan.com/address/0x5a9bf6badcd24fe0d58e1087290c2fe2c728736a#code

这里找到了一个名为18T的代币在approveAndCallcode函数中存在call注入漏洞,此代币已经上过其他很多交易所,此时攻击者只需要调用此代币的approveAndCallcode函数,并把_spender参数设置为Radex交易所的地址,然后在_extraData中填充函数名(tokenFallback)、参数(充值地址、充值数量)等信息就可以在此交易所给自己充值无数的18T代币,但交易所实际上没收到任何18T代币,不过这个缺陷危害有限,主要因为以下两点:

  • 需要有存在call注入漏洞的代币来配合完成 
  • 就算配合代币完成了假充值,在该去中心化交易所的官网上也不一定会上该币,合约中是存在,但是网站上是看不到的。

修复方案 

除了判断交易事务success之外,还应二次判断充值钱包地址的balance是否准确的增加,其实这个二次判断可以通过Event事件日志来进行,很多中心化交易所、钱包等服务平台会通过Event事件日志来获取转账额度,以此判断转账的准确性,但这里就需要特别注意合约作恶情况,因为Event是可以任意编写的,不是强制默认不可篡改的选项:

emit Transfer(from, to, value); // value 等参数可以任意定义

作为平台方,在对接新上线的代币合约之前,应该做好严格的安全审计,这种安全审计必须强制代币合约方执行最佳安全实践。 作为代币合约方,在编码上,应该严格执行最佳安全实践,并请第三方职业安全审计机构完成严谨完备的安全审计。

FLy_鹏程万里
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
以太坊智能合约审计CheckList1
08-04
为了达到这一目标,智能合约审计CheckList是一个非常实用的工具,它帮助开发者识别并解决潜在的问题,防止可能的攻击和漏洞。 一、编码规范问题 1. 编译器版本:在编写智能合约时,应使用最新版本的编译器(如...
记通过漏洞无限充值某网站(微信支付的漏洞
网络安全领域优质创作者
08-29 3788
其实这个漏洞在很久以前,大概三年左右吧,就有很多人利用过,当时的我尝试了很多次,并木有成功,然后经过了好几年代码的洗礼,偶尔尝试居然能看懂了,话不多说,我讲一下大概思路吧。 此次,我成功的绕过了两家网站的支付,一家是学习平台的,一家是卖零食的,首先讲讲学习平台的,因为网上有很多收获的学习资源,但是苦于我是一个光有点点技术,然而在一线城市工资却不上万的码农,所以只能想办法绕过充值了,直接充值了网站...
预警 | EOS再现“假充值漏洞, 警惕虚假充值/押注
weixin_43385299的博客
03-12 862
事件 降维安全实验室(johnwick.io)近日关注到不少项目方/交易所在确认客户交易时,只检测了是否存在交易哈希(tx hash),并未检测交易状态(tx status)。这样容易遭受“假充值(Fake Charge)”攻击。恶意用户只需要发起延迟交易,并在随后的实际延迟交易中造成硬失败(hard_fail),就可以不使用任何EOS,完成充值/押注等操作。 分析 我们在jungle2测试网上,...
【确认以太坊转账hash是否成功的唯一依据】Receipts收据中的status字段的判断且token转账的event log字段进行分析,才能正确的判断一笔token转账是否真实成功
weixin_43343144的博客
09-09 2693
以太坊最新漏洞首发!重大发现!以太坊Token转账有效性标识字段的含义调整或将引发新一轮对交易站的攻击! 参考:https://www.douban.com/group/topic/125523381/ hash失败案例参考:https://blog.csdn.net/weixin_43343144/article/details/101052060 国外以太坊参考:https:...
[CTF]对支付软件的漏洞利用buyflag
网络安全知识分享
01-28 3454
对支付软件的漏洞利用 考点 安卓应用的简单逆向、反编译、patch、重打包 对安卓应用的通信流量进行抓取和分析 XXE漏洞及其利用 思路 首先patch掉禁用注册的源码 通过git泄露获得服务端web源码 源码审计 通过xxe漏洞获得key 利用key伪造交易信息给自己充值 step1 获取到apk 首先我拿到了一款支付软件的安装包,我们先在模拟器中安装好这个软件,我们发现这里的注册按钮是无法使用的,如下图: 这时,我们要利用移动端逆向的知识,patch掉禁用注册按钮的的代码 工具:apktool
挖洞思路----支付漏洞
晚风不及你
07-14 3409
介绍 看了好多篇关于各位大佬总结的支付漏洞的技巧、思路等。现在想自己总结一下,仅用于个人学习使用。写这篇总结,案例什么的我就不放了,只用文字进行总结,避免造成各种不好的影响。 X-01修改支付金额参数 在常见购买商品过程下三大步: 选购商品–>确认订单信息(此处也会存在各种优惠券积分等功能)–>付款(支付宝/微信/银联/自带钱包) 在这三步之中,任何一步都可以进行修改金额参数来造成支付漏洞。抓包时要一个一个包,一个一个参数进行分析,不要漏过任何参数。找到代表金额的这个参数,进行修改为小单位金额放
fiddler修改支付金额_支付漏洞总结
weixin_39828783的博客
11-28 6428
请注意,本文编写于 113 天前,最后修改于 104 天前,其中某些信息可能已经过时。快捷支付原理商户网站接入支付结果有两种方式,一种是通过浏览器进行跳转通知,一种是服务器端异步通知浏览器跳转基于用户访问的浏览器,如果用户在银行页面支付成功后,直接关闭了页面,并未等待银行跳转到支付结果页面,那么商户网站就收不到支付结果的通知,导致支付结果难以处理。而且浏览器端数据很容易被篡改而降低安全性...
监控ERC20合约代币充值
爱吾所爱,无所不能
11-18 2623
假设 充值账号:0x617315ed9433de7b902ee33766888888888 假设 合约地址: https://etherscan.io/address/0x87026f792d09960232ca406e80c88888888 轮询的代币合约交易检测接口: https://api.etherscan.io/api?module=account&amp;action=txli...
闪电贷的攻防和智能合约审计
12-25
闪电贷和闪电兑,以及智能合约的安全防范
区块链智能合约安全开发.pdf
08-08
智能合约安全开发 相关概念 安全事件 审计之路 常见漏洞 常用工具
以太坊智能合约示例与漏洞分析——竞拍合约
01-08
智能合约定义成员变量、event等,构造函数初始化受益人、拍卖结束时间,如下所示: 出价的函数如下,标注payable说明函数可以接收转账,require(now <= auctionEnd)检查拍卖是否结束,如果已经结束就抛出异常,...
智能合约编写之Solidity的高级特性
02-24
优秀的Solidity编程实践也应符合这一原则:每个合约都清晰、合理地定义函数的可见性,暴露最少的信息给外部,做好对内部函数可见性的管理。同时,正确地修饰函数和变量的类型,可给合约内部数据提供不同级别的保护,...
深入浅出谈以太坊智能合约
区块链大本营
09-13 1万+
什么是合约?合约是代码(它的功能)和数据(它的状态)的集合,存在于以太坊区块链的特定地址。 合约账户能够在彼此之间传递信息,进行图灵完备的运算。
抓包修改充值金额原理_充值漏洞之先充两个亿
weixin_39520353的博客
12-01 8156
这是 None_Sec 的第 7 篇文章。 全文共计302个字,预计阅读时长0分钟。都是在测试环境下进行的仅供学习思路 禁止任何违规操作前言:小葵花课堂开课了:大佬总说自己菜怎么办。多半是装的。舔一顿就好了。谢谢大佬们的指点。充值漏洞之先充两个亿每天都是挖不到洞的一天终于在某天奇迹就来了 灵光乍现 就想到这...
必测的支付漏洞(一)使用fiddler篡改支付金额
热门推荐
Lambda_Y的博客
04-19 7万+
互联网产品中常会遇到支付功能,测试人员测试这部分功能时一定要重视,因为如果这部分出现了较严重的bug,将会给公司带来不小的经济损失!如果你测出了问题领导也一定会高兴的!因此测试优先级很高,但具有一定难度,刚接触测试的小白们可能不知道支付功能有哪些测试点,作为同为小白的我,就与大家分享一下我学习并致用于工作中的成果吧!         今天这篇介绍一下支付功能的测试点之一——篡改支付金额。设想
Etherscan API 中文文档-交易以及检查交易收据状态
weixin_30268921的博客
05-26 526
本文原文链接 点击这里获取Etherscan API 中文文档(完整版) 完整内容排版更好,推荐读者前往阅读。 交易(Transaction) 交易相关的 API,接口的参数说明请参考Etherscan API 约定, 文档中不单独说明。 [BETA] 检查合约执行状态 (if there was an error during contract execution) Note: isError"...
漏洞学习】DVP-2018-16101(假充值漏洞
Fly_鹏程万里
01-16 260
漏洞URL: https://www.mv.cool/ 简要描述: 此交易平台充值的时候给了用户一个手动输入检查充值hash 的选项,用户随意在区块上找一个hash可充值成功。造成任意充值漏洞证明: 漏洞利用代码: Test account : xxxxx@xxxxxxx.com Test Password:1xxxxxxxa 我刚注册的一个账户,证明可注册 hash...
app 网页充值服务器,APP网站服务器常见的8种漏洞
weixin_36076139的博客
08-06 505
APP网站服务器常见的8种漏洞1、物理相对路径泄漏物理相对路径泄漏通常是因为Web服务器解决客户post请求错误造成的,如运用上传1个较长的post请求,或者是某一悉心构建的独特post请求,或者post请求1个Web服务器上不会有的文档。这类post请求都是有1个相互特点,那便是被post请求的文档一定归属于CGI代码,而不是静态数据html语言网页代码。2、文件目录遍历list文件目录遍历li...
matlab下载.pdf
最新发布
07-14
matlab下载下载方式及注意事项
智能合约安全审计该怎么学习?
03-27
学习智能合约安全审计需要具备以下知识和技能: 1. 区块链技术基础:了解区块链技术的原理和基本概念,熟悉 Solidity 语言的基本语法和数据类型。 2. 智能合约开发经验:了解智能合约的开发流程和部署过程,能够熟练使用 Remix、Truffle 等工具进行智能合约开发。 3. 安全知识:了解常见的安全漏洞和攻击方式,包括重入攻击、溢出漏洞、变量覆盖等。 4. 代码审计能力:能够对智能合约代码进行审计,发现其中的潜在安全问题,了解常见的审计工具和技术。 5. 漏洞修复能力:能够对发现的安全漏洞进行修复和优化,提高智能合约的安全性。 学习智能合约安全审计可以通过以下途径: 1. 在线课程:可以选择一些在线课程,如 Coursera、Udemy 等平台上的智能合约安全审计课程,学习智能合约的基础知识和安全审计技能。 2. 书籍:可以阅读一些智能合约安全审计相关的书籍,如《Solidity Programming Essentials》、《Mastering Blockchain》等。 3. 社区论坛:可以参与区块链社区的讨论和交流,了解最新的智能合约安全问题和解决方案。 4. 实践经验:通过实践经验不断积累智能合约安全审计的能力,可以参加一些智能合约开发和审计的项目,提高自己的技能水平。 总之,学习智能合约安全审计需要不断积累知识和经验,同时注重实践和交流,不断提高自己的技能水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值