区块链研究实验室-君士坦丁堡硬分叉后的可重入漏洞-part1

最新推荐文章于 2022-11-23 21:31:42 发布
最新推荐文章于 2022-11-23 21:31:42 发布
阅读量383 收藏 1
点赞数
分类专栏: 区块链 智能合约 以太坊 Hyperledger 区块链技术

这两天关于以太坊延迟君士坦丁堡升级的报导铺天盖地,可惜到现在都没看到一篇能把这个漏洞讲透彻的,就由我来给大家解密吧。

即将到来的以太坊君士坦丁堡升级将降低部分SSTORE指令的gas费用。然而,这次升级也有一个副作用,在Solidity语言编写的智能合约中调用address.transfer()函数或address.send()函数时存在可重入漏洞。在目前版本的以太坊网络中,这些函数被认为是可重入安全的,但分叉后它们不再是了。

重入攻击

所谓“重入攻击”,指的是在同一笔交易中,合约A调用合约B,而合约B又反过来调用合约A的现象。

当攻击者通过递归调用目标的撤销功能从目标中抽取资金时就会发生重入攻击,就像DAO的情况一样。当合同在发送资金之前未能更新其状态(用户的余额)时,攻击者可以不断调用撤销功能以消耗合同的资金。只要攻击者收到以太坊,攻击者的合同就会自动调用其回退函数function(),该函数被写入以再次调用撤销函数。此时攻击已进入递归循环,合同的资金开始向攻击者发出冲击。由于目标合同因调用攻击者的后备功能而陷入困境,因此合同永远无法更新攻击者的余额。目标合同被认为没有任何问题......要明确,回退函数是合约的功能,只要合约收到以太坊和零数据,它就会自动执行。

漏洞原理分析

ChainSecurity组织最先向以太坊团队提交了这个漏洞,他们设计了下面这个场景:

这是一个“共享支付合约”,其实就跟我们平时去食堂刷饭卡是类似的。我去管理处办了张饭卡,往里面充了100块钱,现在这些钱100%都是属于我自己的。然后我去吃了顿饭花了20,这时候我就更新一下卡里的参数:这张卡里的钱80%归我,剩下归食堂。然后我突然接到通知,公司要搬家了,这张卡用不上了,于是我就去管理处退卡,管理处的会计就根据这个80%的比例,退我100*80% =80块钱,还有100*(1-80%)=20块钱打到食堂帐上。请注意,这个操作必须是原子的,假如他先退了80块给我,然后我在他给食堂打钱之前,把参数改成了0%,他就会给食堂帐上打100*(1-0%)=100块钱!也就是说,虽然我只充了100块,但是我跟食堂加起来却得到了180块钱,这多出来的80块钱是哪里来的呢?当时就是从其他充饭卡的人那里“偷”来的啦~

具体到代码层面,攻击的流程参见下图:

黑客首先给“攻击合约账户A”和一个“普通账户B”之间建立一条共享支付通道(办张卡),请注意,这两个账号都是黑客自己控制的。

然后黑客操纵账户A调用deposit()方法往“共享支付合约”里充了一些钱(比如100 ETH)。

接着,黑客调用攻击合约的attack()方法,这个方法会接连执行下面两个调用:

  • 调用“共享支付合约”的updateSplit()方法,把分配参数更新成100%(没毛病,这些钱都是账户A的)

  • ​调用"共享支付合约"的splitFunds()方法销卡退款(理论上应该给账户A转100 ETH,账户B转0 ETH)

"共享支付合约"先给账户A转100 ETH,调用账户A的transfer()方法。但是账户A是个合约,并且没有transfer()方法,因此会调用到它的fallback方法。

在合约A的fallback方法里,它再次调用了“共享支付合约”的updateSplit()方法,把分配参数更新成了0%(这一步是通过内联汇编完成的,比较省gas,具体原因后面会说)。

接着,“共享支付合约”会继续给账户B转账,但是由于分配参数变了,现在账户B占100%了,所以它又给账户B转了100 ETH。

可以看到,黑客每发起一次攻击,都可以赚100 ETH(因为两个账号都是他自己的),而且可以无限次数攻击,直到把“共享支付合约”里的钱偷光,太可怕了。。。

为什么升级前没有这个漏洞

实际上在此之前,EVM是考虑过重入攻击问题的,在合约A调用合约B时,合约B的代码只能执行一些非常简单的操作(比如发送一个event,对应LOG指令),消耗的总gas不能超过2300,这被称为“调用津贴(CallStipend)”。由于CALL指令本身需要消耗700 gas,所以实际上可用的gas只有1600,这对于普通指令足够用了,比如LOG指令每个字节只需要消耗8 gas,因此最多可以写200个字节来记录这次调用事件。但是,SSTORE指令需要消耗5000 gas,因此如果合约B中使用了SSTORE指令,会导致Out of Gas从而中止交易的执行。因此,EVM是依靠SSTORE指令的高额油费消耗来避免重入攻击的。

但是,这一保证被EIP 1283打破了。

  •  No-op状态:收取200gas

  • Fresh状态:

  • 如果原始值是0,收取20000gas

  •  否则,收取5000 gas。如果新值是0,退还15000gas

  • Dirty状态:收取200gas,并检查下面2个条件:

  • 如果原始值不是0

  • 如果当前值是0(说明新值不是0),收回退还的15000gas

  •  如果新值是0(说明当前值不是0),退还15000gas

  •  如果原始值等于新值(被reset回原始值了)

  • 如果原始值是0,退还19800gas

  • 否则,退还4800 gas

黑客发起攻击时,先调用一次SSTORE把分配参数从0更改为100,进入Fresh状态,收取20000 gas。然后在fallback函数中再次把分配参数从100更改为0,此时会进入Dirty状态,只会收取200 gas,并退还19800gas。这一数值远远低于1600 gas,因此黑客就可以成功地发起重入攻击。

 

本文转载公众号:区块链研究实验室

区块链研究实验室
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
opendir是安全重入函数吗_ReGuard:智能合约中可重入漏洞检测
weixin_35793573的博客
12-22 540
论文:Chao Liu, Han Liu, Zhao Cao, Zhong Chen, Bangdao Chen, and Bill Roscoe. 2018.ReGuard: Finding Reentrancy Bugs in Smart Contracts. In Proceedings of the 40thInternational Conference on Software Engi...
智能合约之可重入攻击
u010304442的博客
04-04 2810
以太坊智能合约到现在,出现了不少由于合约代码不严谨,导致黑客利用合约代码漏洞进行攻击来获取暴利。接下来我为大家来介绍一下常见的合约漏洞类型,包含重入攻击,短地址攻击,数据溢出攻击,可预测随机数攻击,篡改实践攻击等。下面大家介绍一下重入攻击。 ...
Contractfuzzer 框架分析(源码分析)
最新发布
区区小块的博客
11-23 1855
Contractfuzzer是智能合约模糊测试方向第一篇论文,通过阅读Contractfuzzer的源代码总结出本篇博客。
区块链安全学习笔记
biziwaiwai的博客
05-29 2335
参考:https://www.anquanke.com/post/id/145458以太坊智能合约安全入门https://xiaozhuanlan.com/topic/7921803456区块链技术一、Fallback函数:官方解释:A contract can have exactly oneunnamed function. This function cannot have argument...
智能合约重入漏洞
weixin_40222848的博客
05-21 527
重入漏洞是智能合约中最危险的漏洞之一,它可能导致合约余额(以太)被攻击者窃取。如果一个合约中的支付函数调用(即call.value()、deposit.value()、transfer()等)被用来调用其他合约,而被调用方也调用调用方,从而再次进入调用方,则会发生这种情况。它将最终提取调用方合约账户的全部金额,而区块中的记录只是第一次提取。例如,在图中,攻击者调用合约Attack中的attack函数(第23行),它将通过第24行执行合约Reentrance中的withdraw函数。当合约Reentrr..
重入漏洞
kugool的专栏
03-15 1万+
安全性是我们编写智能合约时要考量的最重要的因素之一。在智能合约编程领域,错误总是很轻易而又很昂贵地在发生。与其他程序一样,智能合约程序当然也会严格按照其程序逻辑来执行,虽然结果并不总是像程序员们所设想的那样。此外,所有智能合约都是公开可见的,任何人都可以简单地构造一个交易来与它们进行交互。 重入 以太坊智能合约的特性之一就是能够调用和使用其他外部合约的代码。合约通常也会用来处理以太币,因而也会经常将以太币发送到不同的外部用户地址。这些处理都需要合约提交外部调用。这些外部调用有可能会被攻击者劫持,迫使.
solidity-create2-example:如何使用君士坦丁堡更新中发布的CREATE2操作码以太坊的示例
02-05
CREATE2示例如何使用在更新中发布的操作码以太坊的示例。讲解这些教程将向您展示如何预先确定智能合约的链下地址,然后使用来自智能合约的create2进行部署。 Factory.sol使用create2操作码部署其他合同的合同: ...
crud-c:UCB-DF的最终项目,结构化编程学校课程的第二学期。使用CRUD,C和文件
03-20
君士坦丁堡 功能 结构 数组 Arquivosbináriose texto-CRUD 有效期 Cabeçalhos Arquivo Makefile Caso de Uso do Mini-Projeto 先决条件 Ter编译器安装。 Algumasopçõessão:GCC和MinGW erra Visual Studio...
flask-task-manager-project
04-17
欢迎君士坦丁堡, 这是Gitpod的代码学院学生模板。 我们已经预装了您入门所需的所有工具。 您可以安全地删除此README.md文件,或为您自己的项目进行更改。 不过,请至少阅读一次! 它包含有关Gitpod和我们使用的...
etheno:简化以太坊安全性分析和测试
02-05
乙醚 以太坊是以太坊测试的瑞士军刀。... 例如,Etheno君士坦丁堡用气共识错误,该错误在Ropsten上引起了分歧。 Etheno以美杜莎的姐妹,Echidna的母亲希腊女神名字命名-这恰好也是。 产品特点 JSON RPC复用:Ethe
city-nicknames:全球最大城市(以及一些国家_地区)的非正式和俚语昵称的集合,实现为昵称到专有名称的简单 JSON 映射
06-17
城市昵称全球最大城市(以及一些国家/地区)的非正式、非官方、俚语和历史名称的集合,实现为昵称到... 历史名称(例如“列宁格勒”、“君士坦丁堡”等)。 官方口号和昵称 - 可能在宣传活动中推广但没有人实际使用的
零时科技|solidity智能合约基础漏洞——重入漏洞
m0_37598434的博客
02-25 3714
区块链领域的安全问题不容忽视,这就要求开发者必须时刻小心谨慎,养成防御性编程思维
《我学区块链》—— 三十一、以太坊安全之 可重入漏洞
xuguangyuansh的博客
10-26 1094
三十一、以太坊安全之 可重入漏洞 如果一个函数在执行完成前被调用了数次,发生意料不到的行为时,可重入漏洞就可能出现。 我们看看下面这个函数,它可以用于从合约中提取调用者的总余额: mapping (address => uint) private balances; function payOut () { require(msg.sender.call.value(balances...
智能合约漏洞——重入漏洞
S123456215的博客
05-27 1173
​前提:一个消息调用的目标,可以再次进行智能合约创建或者信息调用。 重入:消息调用的目标智能合约函数中又调用了发起消息调用的智能合约的函数。 假设:智能合约A有函数F1,攻击合约B有函数F2。F1功能是向消息发送方转账,或者调用消息发送方的特定函数,B就有可能利用重入进行攻击。 受害者合约: contract EtherStore{ uint256 public withdrawaLimit = 1 ether; mapping(address => uint256) publi
区块链研究实验室-君士坦丁堡分叉后的可重入漏洞-part2
willam1的专栏
02-27 289
这个代码的问题何在? 下面代码是君士坦丁堡分叉之前没有可重入漏洞的一个代码段,它会在分叉后导致可重入性。我们的Github页面(https://github.com/ChainSecurity/constantinople-reentrancy)展示了包括攻击合约在内的完整源代码。 这个代码会被一种意想不到的方式攻击:它模拟了一个安全的资金共享服务。双方可以共同接收资金,决定如何分成,如...
TheDAO悲剧重演,SpankChain重入漏洞分析
热门推荐
Fly_鹏程万里
10-16 2万+
前言 在10月8日,区块链项目方SpankChain在medium上发表了一篇文章, 并表明其受到了攻击,导致损失了160多个ETH和一些Token,这次攻击事件,相对来说损失金额是较小的,约4万美元,不过值得一提的是:这次攻击事件的起因与2016年闹得沸沸扬扬的TheDAO事件如出一辙!一共被盗走300多万ETH,更为严重的是还间接导致了以太坊分叉... 自那次事件起,以太坊的智能合约开发...
重入
JOHNKING123的专栏
11-25 7931
原文:https://www.shiyanlou.com/questions/2460 1 . 什么是可重入锁 锁的概念就不用多解释了,当某个线程A已经持有了一个锁,当线程B尝试进入被这个锁保护的代码段的时候.就会被阻塞.而锁的操作粒度是”线程”,而不是调用(至于为什么要这样,下面解释).同一个线程再次进入同步代码的时候.可以使用自己已经获取到的锁,这就是可重入锁java里面内置锁(s
以太坊智能合约安全漏洞 (1):重入攻击
henrynote的博客
08-27 8554
本文转自公众号:亨利笔记 首发于: https://hash1024.org/topics/27 本文的英文原文已有若干个中文翻译版本,但译文和原文都有错漏或不足。本文系基于译者(Henry)的理解,重新翻译并做了修正,并且加入了个人的注解和插图,力求让读者更容易领会原文的含义。为不影响阅读体验,注解没有单独标出, 可当译文 +“笔记”来阅读。感兴趣的读者可参考文末的原文地址。 虽然仍然处...
三天竟然爆发两起大漏洞事件!我们来教你如何跳过以太坊的坑
区块链大本营
04-26 7355
“现在进入你还是先行者,最后观望者进场才是韭菜。”美图董事长蔡文胜在三点钟群中的预言一语成谶。在4月22日,随着BEC智能合约漏洞的爆出,一行代码蒸发了644727768...
深入理解重入攻击漏洞
SierraW的博客
07-06 2094
前言 智能合约(英文:Smart contract )的概念于 1995 年由 Nick Szabo 首次提出,它是一种旨在以信息化方式传播、验证或执行合同的计算机协议,它允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。然而智能合约也并非是安全的,其中 重入 (Re-Entrance) 攻击漏洞是以太坊中的攻击方式之一,早在 2016 年就因为 The DAO 事件而造成了以太坊的分叉漏洞概述 在以太坊中,智能合约能够调用其他外部合约的代码,由于智能合约可以调用外部合约或者发送以太币,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值