Qtum研究院:以太坊智能合约潜在风险

最新推荐文章于 2024-11-12 10:23:53 发布
最新推荐文章于 2024-11-12 10:23:53 发布
阅读量212 收藏
点赞数
文章标签: 区块链 操作系统
原文链接:https://juejin.im/post/5bee67a2e51d4524ec257322
版权




最近作者一直在思考 EVM 和 Solidity 对不可支付合约(non-payable contracts)的错误概念,以及其可能蕴含的针对智能合约的攻击(attack vectors),该类型攻击在现有 EVM 中几乎不可修复。EVM 是以太坊、Qtum 量子链和其他一些区块链合约运行的基础。基本上写 Solidity 代码就等同于使用 EVM。这篇文章只以以太坊(ETH) 为例,不过该问题同样适用于用 QTUM 等所有兼容 EVM 的项目。


对没有经验的人来说,EVM 似乎并没有只发送 ETH 到合约,但不潜在地执行任何合约代码的方法(这样的交易会失败/抛出异常)。但事实上,确实存在比较不为人知的强制合约地址接收 ETH 的方法。


强制接收 ETH 攻击


异常的余额改变并不会影响所有合约,有些时候只会导致合约中 ETH 被锁定而永远无法使用。但有些合约可能会因此完全失效,故需要加入expectedBalance 状态字段,或者添加余额异常处理方法来避免这一问题。


人为例子:

pragma solidity 0.4.18;
contract ForceEther {
bool youWin = false;
function onlyNonZeroBalance() {
require(this.balance > 0);
youWin = true;
}
// throw if any ether is received
function() payable {
revert();
}
}

另一个看上去更真实的例子:

contract EtherGame {
uint public payoutMileStone1 = 3 ether;
uint public mileStone1Reward = 2 ether;
uint public payoutMileStone2 = 5 ether;
uint public mileStone2Reward = 3 ether;
uint public finalMileStone = 10 ether;
uint public finalReward = 5 ether;
mapping(address => uint) redeemableEther;
// users pay 0.5 ether. At specific milestones, credit their accounts
function play() public payable {
require(msg.value == 0.5 ether); // each play is 0.5 ether
uint currentBalance = this.balance + msg.value;
// ensure no players after the game as finished
require(currentBalance <= finalMileStone);
// if at a milestone credit the players account
if (currentBalance == payoutMileStone1) {
redeemableEther[msg.sender] += mileStone1Reward;
}
else if (currentBalance == payoutMileStone2) {
redeemableEther[msg.sender] += mileStone2Reward;
}
else if (currentBalance == finalMileStone ) {
redeemableEther[msg.sender] += finalReward;
}
return;
}
function claimReward() public {
// ensure the game is complete
require(this.balance == finalMileStone);
// ensure there is a reward to give
require(redeemableEther[msg.sender] > 0);
redeemableEther[msg.sender] = 0;
msg.sender.transfer(redeemableEther[msg.sender]);
}
}

用户每次给合约发送 0.5 ETH,依次达到每个 milestone。攻击者可以强行将ETH发送给该合约,令其超过 finalMileStone 值,从而使合约中的所有资金都被锁定并且无法访问。 当然,这个例子也是人为设计出来的。


不幸的是,我还无法找到任何现实生活中的例子。不过,如果有目的地把代码隐藏在Solidity合约中,这些类型的漏洞可能会非常狡猾。这种性质的攻击是Underhanded Solidity比赛的第二和第三名获胜者的获胜关键。


强制发送 ETH 到合约

首先介绍一下交易是怎么发生的。假设有如下代码:

someAddress.transfer(self.balance() / 10);

这段代码有什么作用?


someAddress 可以是非合约地址,这种情况没有合约执行,除标准交易费用外不会消耗任何 gas。这永远不会失败,但也无法保证地址是真实的和可访问的

someAddress 可以是合约地址。合约可以成功交易并消耗足够的 gas 费用。


someAddress 可以是合约地址。合约交易如果失败,费用会返回,但会消费掉所有 gas,并且合约调用交易停止执行。


这看起来还行。如果合约不想收到 ETH,或者只想接收白名单上某些地址、合约的 ETH,那你对其发送 ETH 就会失败。


然而,若以其他方式发送 ETH 的话,这种安全特性会被完全击破:合约可以在被创建时接收 ETH。然后,合约可以自毁,把它所有 ETH 发送给一个易受攻击的合约,而不用调用任何目标合约的代码。


如果发送者和当前易受攻击的合约能在部署前被提前预测到,可以提前把 ETH 发送到那个地址。矿工/区块创建者能直接将区块奖励的 ETH 发送给任何合约,而不需要执行任何代码。


这些虽然都不是常规用法,但它们确实提供了一种方法来将 ETH 发送到合约并完全绕过任何阻止这一行为的代码。


在没有特殊权限的情况下,能利用起来的唯一方法就是自毁。这个操作只需要你用点 ETH 来创建合约,以及支付额外的 gas 费用。


另一个有趣的方法是在创建合约之前将ETH发送给合约。这样恶意开发者故意在合约代码里放漏洞。这类和合约余额有关的 bug 很难被发现,至少我已知的审核软件都没能明确指出错误,比如require(balance == whatever)。

可以用下面这种代码阻止漏洞:

uint256 expectedBalance = 0;
function () public payable {
expectedBalance+=msg.value;
}


现在我们只用.transfer() 给它发送一些ETH

VM Exception while processing transaction: out of gas

因为我们现在必须读写一个状态变量,这要昂贵得多。默认的 gas 费用是2300 gas。读取一个状态变量需要200 gas,并且写一个已经存在的变量需要 5000 gas(如果之前不存在则需要20,000 gas)

所以,需要用下面代码:

someAddress.transfer.value(whatever).gas(7000); //just a guess

大多数合约在交易时使用默认gas,但这里不是默认情况...不过,仔细考虑这个问题,既然我们需要更多 gas,我们可以写个更有趣的 payable 函数:

function () public payable{
sender.call(....);
}

所以现在为了处理所调用合约的异常的余额改变问题,我们将合约暴露到一个全新形式的攻击下。默认值为2300只能调用一个非常小的外部函数,它不进行状态修改操作,基本上只能生成一个LOG。


既然我们已经增加 gas 使得合约可以读取和存储状态,那么这个合约现在也有足够的 gas 来调用之前调用它的合约,于是就可能导致重入攻击(reentrancy attack)。我不会详细介绍所有细节,但基本上它需要一个非常谨慎的合约设计来防止这个“功能”的 bug,并且唯一100%处理掉它的方法是 gas 费用低到不能进行状态修改。没有100%的方法知道当前的合约执行是不是可重入的,EVM 并未公开这类信息。


总结

对我来说,这部分 EVM 设计毫无意义。正常接受资金需要获得批准,这似乎被说成是一种安全功能,同时却有清晰且有记录的方法来绕过它,所以它没有提供任何安全性方面的价值。


此外,如果你想减少交易费用,那么这些方法在很大程度上是你无法访问的,它们只对攻击者有用。理论上,如果你只想将代币只发送到合约,而不关心合约的执行,gas 成本应该便宜33%。


为什么EVM没有暴露这样类似的方法呢?从历史上看,这种意外行为导致了许多合约DoS攻击和漏洞。幸运的是,Solidity让这些类型错误更难以出现。但显然它不能完全解决安全方面的问题,更不用说经济方面了。


如果希望跟踪合约中确切的预期余额,那么需要支付比平常更多的 gas 并使用非标准接口,这实际上会带来更多的风险,比如重入攻击。


我们可能永远不会知道为什么EVM这样设计,但这一问题将在 Qtum x86VM 中得到解决。将来会有一种在不执行合约的情况下向合约发送 QTUM 的方法,而且它比实际执行合约更加便宜。



weixin_34015336
关注
Qtum研究院Qtum企业版跨链交易解决方案——Canal
weixin_42667079的博客
12-14 289
    背景介绍   传统数字货币分布在不同的区块链网络中,无法直接进行数据互通,因此必须借助于数字货币交易所进行交易,而数字货币交易所多为中心化的服务,在安全性、隐私性等方面都受到挑战,因而诞生了运行在链上的直接结算方式——跨链,因为其数据透明、隐私保障、实时结算等优点,越来越受到广泛的关注。   已有的跨链项目有 Cosmos、Polkadot、Fusion、Iris、 ICO...
Qtum智能合约使用方法及说明
weixin_42667079的博客
07-16 3061
Qtum是一个基于比特币UTXO模型,权益证明机制(pos)和支持EVM智能合约区块链项目。它通过创新的账户抽象层(Account Abstraction Layer)实现了比特币与以太坊两大生态的融合。如果想了解更多关于Qtum的信息,可以访问我们的官网www.qtum.org,欢迎加入我们的社区。基于Qtum智能合约首先需要说明的是,使用Qtum智能合约接口仍然需要一定的技术储备。本文对...
以太坊智能合约安全
weixin_33777877的博客
11-30 314
引言智能合约就是自主执行的合约,其条款是用代码规定的。虽然这个概念已经存在一段时间了,但至少从1996年Nick Szabo提出了这一概念以来,直到图灵完备的以太坊区块链来临,智能合约的使用才变得普遍。以太坊智能合约存在于合约地址里,能以交易命令来调用。用代码编写并存放在不可更改的公链上的合约执行起来会产生一定的风险与安全问题。我们将会在本文中讨论这些问题和可能的缓解措施。代码即法律?对智能合约...
区块链安全100问 | 第六篇:智能合约面临的安全风险
m0_37598434的博客
08-04 1986
​零时科技——专注于区块链安全领域 深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,以及企业级区块链应用创新解决方案。 零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链区块链安全。 前言
应用于数字藏品的智能合约都有哪些安全风险?如何有效防范?
s0907717的博客
05-23 557
国内数字藏品在技术上与NFT并无太大差别,也是通过智能合约来实现业务逻辑,所以合约漏洞等安全问题在国内数字藏品上也会存在,我们需谨慎对待。下面我们就来看看数字藏品在智能合约实现中存在的安全问题和解决方案。 数字藏品与智能合约 什么是智能合约? 为什么数字藏品的安全问题离不开对智能合约的讨论呢?因为,数字藏品在技术上是通过智能合约实现并运行的。在讨论数字藏品智能合约安全问题之前,我们先来看看什么是智能合约。 20世纪90年代,Nick Szabo首次提出智能合约的概念。当时,他把智..
智能合约伴生风险的类型研判
m0_66117547的博客
04-19 855
区块链时代智能合约衍生出三类严重伴生风险:以智能合约为场景的利用代码规则行为、以 智能合约为对象的侵害私钥行为以及以智能合约为手段的犯罪交易行为。现行《刑法》在应对智能合约伴生风险时存在行为属性不明、罪名适用争议以及犯罪治理困难等问题,场景风险所引起的行为属性不明源于法律安全与技术自由的价值博弈,对象风险所导致的罪名适用争议源自私钥与数字货币之间本体差异与价值关 联的矛盾,手段风险所致的犯罪治理困难源于犯罪匿名与共犯信任的结合。的条件信息,自动执行的对象是与智能合约相关联的数字货币。
关于区块链智能合约案例和存在的问题解析
xxqkl_1的博客
12-03 2120
区块链长时间的发展过程中,区块链智能合约是一个非常重要的里程碑产物。所谓智能合约即能将参与者双方指定的条款传输到智能合约上,参与方可直接在合约上执行承诺的协议。但是要注意的是智能合约和法律条约不能划等号,在无需第三方的情况下能自动执行的合约。 区块链智能合约的产生,一方面能减除中间机构,另一方面还可提高赔款的效率,避免出现拖拉的现象。 下面来看看区块链智能合约的一些案例。 ①证券登记和清算 合...
qtum-electrum:轻质Qtum钱包
05-15
Qtum Electrum-轻量级Qtum客户 Qtum琥珀金是一个轻量级的Qtum钱包从分叉。 Licence: MIT Licence Language: Python (>= 3.6) 入门 Electrum是一个纯python应用程序。 如果要使用Qt接口,请安装Qt依赖项: sudo apt...
Qtum量子链研究院:x86 SimpleABI 协议与 abigen 工具
01-08
Qtum abigen这是 Qtum x86 合约的一个轻量级的 ABI。这个 ABI 规范称为 Simple ABI。SimpleABI 只编码字段值(flat values)和简单数组(simple arrays)。它不是智能合约 ABI 的终极状态,只是实现起来非常简单,最重要...
区块链全栈工程师指南(第1课):智能合约QTUM初探
06-09
讲师首先对几个简单的智能合约实例进行逐一解析,之后会带领读者分析DApp架构。通过本课程,你将对以下区块链应用关键步骤有清晰的认识:当用户点击一个按钮时,背后会发生哪些网路请求,后又怎样将数据存储于区块链...
10以太坊Token详解
tianqinglei的博客
08-02 5051
什么是Token? 单词_Token_来源于古英语“tacen”,意思是符号或符号。常用来表示私人发行的类似硬币的物品,价值不大,例如交通Token,洗衣Token,游乐场Token。 如今,基于区块链的Token将这个词重新定义为基于区块链的抽象概念,可以被拥有,并代表资产,货币或访问权。 “Token”一词与微不足道的价值之间的联系与物理Token的使用限制有很大关系。通常仅限于特定的企...
智能合约风险:SmartMesh攻击,uint溢出之祸
郑泽洲的博客
05-30 1007
SmartMesh的理念 智能合约又双叒叕出事了。这次是SmartMesh。 SmartMesh其理念很好,想网络访问领域的去中心化,将来人们联网,不要路由器和交换机,直接相连,电信运营商都死翘翘,每个人按网络贡献挖矿获得收益,发出网络别人帮忙要给钱 SmartMesh遭受的攻击 具体攻击交易之一 事件描述: d6a09bdb29e1eafa92a30373c44b09e2e2e...
长篇干货|以太坊智能合约 —— 最佳安全开发指南(附代码)
weixin_34281537的博客
03-30 778
这篇文档旨在为Solidity开发人员提供一些智能合约的安全准则(security baseline)。当然也**包括智能合约的安全开发理念、bug赏金计划指南、文档例程以及工具。**对该文档提出修改或增补建议,请点击“阅读原文”。 1 基本理念 以太坊和其他复杂的区块链项目都处于早期阶段并且有很强的实验性质。因此,随着新的bug和安全漏洞被发现,新的功能不断被开发出来,其面临的安全威胁也是不断...
智能合约安全(一):以太坊机制及安全问题
sinat_34996559的博客
12-23 1631
在本系列中,我们将对以太坊现有的安全问题和前沿的各类型漏洞挖掘方法进行综述。本文是本系列的第一篇文章,主要介绍以太坊的机制和存在的安全问题的分类。 01 什么是以太坊智能合约以太坊智能合约基于区块链(Blockchain)技术,作为一种旨在以信息化方式传播、验证或执行的计算机协议,为各类分布式应用服务提供了基础。简单来讲:如果把比特币看作是分布式的记账本;以太坊便是可以运行程序的分布式计算平台,程序运行的基础则是Solidity智能合约智能合约早在1995年就由尼克萨博提出,目的在于以数字形式定
解密智能合约TOP10安全漏洞
热门推荐
softgmx的博客
11-22 1万+
以下都是来自我的新作《解密EVM机制及合约安全漏洞》里的内容 电子版PDF下载:https://download.csdn.net/download/softgmx/10800947   重入问题 漏洞成立的条件: 合约调用带有足够的gas 有转账功能(payable) 状态变量在重入函数调用之后 底层转账函数 防重入 错误处理 ...
2024 年 10 月公链行业研报:比特币引领市场,Layer 2 竞争加剧
最新发布
m0_60517769的博客
11-12 859
2024 年 10 月,比特币市场份额攀升至 70.1%,而 Layer 2 格局持续演变,其中比特币 L2 增长速度超越以太坊 L2。
区块链技术在供应链管理中的应用
qq_36287830的博客
11-08 722
区块链是一种分布式数据库或公共账本技术,通过加密算法确保数据的安全性和不可篡改性。每个区块包含多个交易信息,并通过加密哈希值链接起来形成一个链条。区块链的核心特点包括去中心化、透明性、安全性和不可篡改性。
Qtum钱包中的QRC20操作指南
- QRC20是基于Qtum区块链的代币标准,类似于以太坊的ERC20。 - 在交易所中,通常会使用一个主地址(MAIN_QRC_ADDRESS)来存储所有用户的代币。 - 合约地址(TOKEN_CONTRACT_ADDRESS)是指部署QRC20代币的智能合约...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值