當(dāng)前位置:首頁 > 物聯(lián)網(wǎng) > 區(qū)塊鏈
[導(dǎo)讀] 如果你在數(shù)字貨幣世界待過足夠時(shí)間,也許你聽說過1或2個(gè)智能合約攻擊時(shí)間,這些攻擊導(dǎo)致了幾千萬美元的盜竊損失。最著名的攻擊是DAO事件,這是數(shù)字貨幣世界最受期待的項(xiàng)目之一,同時(shí)也是智能合約的改革。

如果你在數(shù)字貨幣世界待過足夠時(shí)間,也許你聽說過1或2個(gè)智能合約攻擊時(shí)間,這些攻擊導(dǎo)致了幾千萬美元的盜竊損失。最著名的攻擊是DAO事件,這是數(shù)字貨幣世界最受期待的項(xiàng)目之一,同時(shí)也是智能合約的改革。雖然很多人聽說過這些攻擊,但是很少人知道到底發(fā)生了什么,是怎么發(fā)生的,以及如何避免這些錯(cuò)誤。

智能合約是動(dòng)態(tài)的,復(fù)雜的以及難以置信地強(qiáng)大。雖然他們的潛力是很難想象,但是也不可能一夜之間就成為了攻擊的對(duì)象。也就是說,對(duì)于往后的數(shù)字貨幣,我們可以從之前的錯(cuò)誤中學(xué)到經(jīng)驗(yàn),然后一起成長。雖然DAO是已經(jīng)發(fā)生的事情,但是這對(duì)于開發(fā)者,投資者,以及社區(qū)成員對(duì)于智能合約攻擊來說,都是一個(gè)很好的例子。

今天,我想和大家聊聊從DAO事件中,我們學(xué)到的3件事。

攻擊#1:重入攻擊

當(dāng)攻擊者通過對(duì)目標(biāo)調(diào)用提款操作的時(shí)候,重入攻擊就會(huì)發(fā)生,就好像DAO事件一樣。當(dāng)合約不能在發(fā)出資金之前更新狀態(tài)(用戶余額),攻擊者就可以連續(xù)進(jìn)行提取函數(shù)調(diào)用,來獲得合約中的資金。任何時(shí)候攻擊者獲得以太幣,他的合約都會(huì)自動(dòng)地調(diào)用反饋函數(shù),function (),這就再次調(diào)用了提現(xiàn)合約。這時(shí)候,攻擊就會(huì)進(jìn)入遞歸回路,這時(shí)候這個(gè)合約中的資金就會(huì)轉(zhuǎn)入攻擊者。因?yàn)槟繕?biāo)合約都在不停地調(diào)用攻擊者的函數(shù),這個(gè)合約也不會(huì)更新攻擊者的余額。當(dāng)前的合約不會(huì)發(fā)現(xiàn)有任何問題,更清楚地說,合約函數(shù)中包含反饋函數(shù),當(dāng)合約收到以太幣和零數(shù)據(jù)的時(shí)候,合約函數(shù)就會(huì)自動(dòng)執(zhí)行。

攻擊流程

1.攻擊者將以太幣存入目標(biāo)函數(shù)

2.目標(biāo)函數(shù)就會(huì)根據(jù)存入的以太幣而更新攻擊者的約

3.攻擊者請求拿回資金

4.資金就會(huì)退回

5.攻擊者的反饋函數(shù)生效,然后調(diào)用提現(xiàn)功能

6.智能合約的邏輯就會(huì)更新攻擊者的余額,因?yàn)樘岈F(xiàn)又被成功調(diào)用

7.資金發(fā)送到攻擊者

8.第5-7步重復(fù)使用

9.一旦攻擊結(jié)束,攻擊者就會(huì)把資金從他們自己的合約發(fā)送到個(gè)人地址

1*UeDgMZo2n0skHzgkl352zQ

重入攻擊的遞歸回路

很不幸地是,一旦這個(gè)攻擊開始,無法停下。攻擊者的提現(xiàn)功能會(huì)被一次次地調(diào)用,直到合約中的燃料跑完,或者被害者的以太幣余額被消耗光。

代碼

下面就是DAO合約的簡單版本,其中會(huì)包括一些介紹來為這些不熟悉代碼/ solidity語言更好地理解合約。

contract babyDAO {

/* assign key/value pair so we can look up

credit integers with an ETH address */

mapping (address => uint256) public credit;

/* a funcTIon for funds to be added to the contract,

sender will be credited amount sent */

funcTIon donate(address to) payable {

credit[msg.sender] += msg.value;

/*show ether credited to address*/

funcTIon assignedCredit(address) returns (uint) {

return credit[msg.sender];

/*withdrawal ether from contract*/

funcTIon withdraw(uint amount) {

if (credit[msg.sender] >= amount) {

msg.sender.call.value(amount)();

credit[msg.sender] -= amount;

如果我們看下函數(shù)withdraw(),我們可以看到DAO合約使用address.call.value()來發(fā)送資金到msg.sender。不僅如此,在資金發(fā)出后,合約會(huì)更新credit[msg.sender]的狀態(tài)。攻擊者在發(fā)現(xiàn)了合約代碼中的問題,就能夠使用類似下面的ThisIsAHodlUp {}來將資金轉(zhuǎn)入contract babyDAO{}合約。

import ‘browser/babyDAO.sol’;

contract ThisIsAHodlUp {

/* assign babyDAO contract as "dao" */

babyDAO public dao = babyDAO(0x2ae...);

address owner;

/*assign contract creator as owner*/

constructor(ThisIsAHodlUp) public {

owner = msg.sender;

/*fallback function, withdraws funds from babyDAO*/

function() public {

dao.withdraw(dao.a(chǎn)ssignedCredit(this));

/*send drained funds to attacker’s address*/

function drainFunds() payable public{

owner.transfer(address(this).balance);

需要注意地是,這個(gè)后退函數(shù),function(),會(huì)調(diào)用DAO或者babyDAO{}的提現(xiàn)函數(shù),來從合約中盜取資金。從另個(gè)方面來說,當(dāng)攻擊者想要把所有偷竊來的資金賺到他們的地址,drainFunds()功能會(huì)被調(diào)用。

解決方案

現(xiàn)在,我們應(yīng)該清楚重放攻擊會(huì)利用兩個(gè)特別的智能合約漏洞。第一個(gè)是當(dāng)合約的狀態(tài)在資金發(fā)出之后,而不是之前進(jìn)行更新。由于在發(fā)出資金前無法更新合約狀態(tài),函數(shù)就會(huì)在中間計(jì)算的時(shí)候被打斷,合約也認(rèn)為資金其實(shí)還沒有發(fā)出。第二個(gè)漏洞就當(dāng)合約錯(cuò)誤地使用address.call.value()來發(fā)出資金,而不是address.transfer() 或者 address.send()。這兩個(gè)都受限于2300gas,只記錄一個(gè)事件而不是多個(gè)外部調(diào)用。

contract babyDAO{

....

function withdraw(uint amount) {

if (credit[msg.sender] >= amount) {

credit[msg.sender] -= amount; /* updates balance first */

msg.sender.send(amount)(); /* send funds properly */

攻擊2:下溢攻擊

雖然DAO合約不會(huì)讓受害者掉入下溢攻擊,我們能夠通過現(xiàn)有的babyDAO contract{}來更好地理解這些攻擊為什么會(huì)發(fā)生。

首先,我們需要理解什么是256單位制。一個(gè)256單位制是由256個(gè)字節(jié)組成。以太坊的虛擬機(jī)是使用256字節(jié)來完成的。因?yàn)橐蕴惶摂M機(jī)受限于256字節(jié)的大小,所以數(shù)字的范圍是0到4,294,967,295 (22??)。如果我們超過這個(gè)范圍,那么數(shù)字就會(huì)重置到范圍的最底部(22?? + 1 = 0)。如果我們低于這個(gè)范圍,這個(gè)數(shù)字就會(huì)重置到這個(gè)范圍的頂端(0–1= 22??)。

當(dāng)我們從零中減去大于零的數(shù),就會(huì)發(fā)生下溢攻擊,導(dǎo)致一個(gè)新的22??數(shù)集?,F(xiàn)在,如果攻擊者的余額發(fā)生了下溢,那么這部分余額就會(huì)更新,從而導(dǎo)致整個(gè)資金被盜。

攻擊流程

攻擊者通過發(fā)出1Wei到目標(biāo)合約,來啟動(dòng)攻擊。

合約認(rèn)證發(fā)出資金的人

隨后調(diào)用1Wei的提現(xiàn)函數(shù)

合約會(huì)從發(fā)送者的賬戶扣除的1Wei,現(xiàn)在賬戶余額又是零

因?yàn)槟繕?biāo)合約將以太幣發(fā)給攻擊者,攻擊者的退回函數(shù)被處罰,所以提現(xiàn)函數(shù)又被調(diào)用。

提現(xiàn)1Wei的事件被記錄

攻擊者合約的余額就會(huì)更新兩次,第一次是到零,第二次是到-1。

攻擊者的余額回置到22??

攻擊者通過提現(xiàn)目標(biāo)合約的所有資金,從而完成整個(gè)攻擊

代碼

/*donate 1 wei, withdraw 1 wei*/

function attack() {

dao.donate.value(1)(this);

dao.withdraw(1);

/*fallback function, results in 0–1 = 2**256 */

function() {

if (performAttack) {

performAttack = false;

dao.withdraw(1);

/*extract balance from smart contract*/

function getJackpot() {

dao.withdraw(dao.balance);

owner.send(this.balance);

解決方案

為了防止受害人陷入下溢攻擊,最好的方法是看更新的狀態(tài)是否在字節(jié)范圍內(nèi)。我們可以添加參數(shù)來檢查我們的代碼,作為最后一層保護(hù)。函數(shù)withdraw()的首行代碼是為了檢查是否有足夠的資金,第二行是為了檢查超溢,第三個(gè)是檢查下溢。

contract babysDAO{

....

/*withdrawal ether from contract*/

function withdraw(uint amount) {

if (credit[msg.sender] >= amount

&& credit[msg.sender] + amount >= credit[msg.sender]

&& credit[msg.sender] - amount <= credit[msg.sender]) {

credit[msg.sender] -= amount;

msg.sender.send(amount)();

需要注意,就像我們之前討論,我們上面的代碼是在發(fā)出資金之前更新用戶的余額。

攻擊#3:跨函數(shù)競爭條件

最后要說的,就是跨函數(shù)競爭攻擊。就像在重放攻擊中所說,DAO合約不能正確的更新合約狀態(tài),并且可以讓資金被盜竊。DAO問題和外部調(diào)用中的部分原因是跨函數(shù)競爭條件攻擊的潛在原因。雖然以太坊中所有的轉(zhuǎn)賬是線性發(fā)生(一個(gè)在另一個(gè)后面), 外部調(diào)用(另一個(gè)合約或者地址的調(diào)用)如果沒有被合理管理,就會(huì)成為災(zāi)難的導(dǎo)火線。在現(xiàn)實(shí)世界中,他們是完全可以避免的。當(dāng)兩個(gè)函數(shù)被調(diào)用并且分享同個(gè)狀態(tài),跨函數(shù)競爭條件攻擊就會(huì)發(fā)生。這個(gè)合約就會(huì)想到,現(xiàn)在有兩個(gè)合約狀態(tài)存在,但是現(xiàn)實(shí)是只有一個(gè)真正的合約狀態(tài)存在。我們不能同時(shí)獲得X = 3和X = 4這兩種結(jié)果。 讓我們用一個(gè)例子來說明這個(gè)內(nèi)容。

攻擊和代碼

contract crossFunctionRace{

mapping (address => uint) private userBalances;

/* uses userBalances to transfer funds */

function transfer(address to, uint amount) {

if (userBalances[msg.sender] >= amount) {

userBalances[to] += amount;

userBalances[msg.sender] -= amount;

/* uses userBalances to withdraw funds */

function withdrawalBalance() public {

uint amountToWithdraw = userBalances[msg.sender];

require(msg.sender.send(amountToWithdraw)());

userBalances[msg.sender] = 0;

上面的合約有2個(gè)功能 – 一個(gè)是可以轉(zhuǎn)移資金,另一個(gè)是提現(xiàn)資金。我們假設(shè)攻擊者調(diào)用了函數(shù)transfer(),然后同時(shí)使用外部調(diào)用函數(shù)withdrawalBalance()。userBalance[msg.sender]的狀態(tài)通過2個(gè)不同的方向被抽出。用戶的余額還沒有被設(shè)為0,但是盡管資金已經(jīng)被提取,攻擊者也能夠轉(zhuǎn)移資金。這樣情況下,合約可以讓攻擊者使用雙花,這也是區(qū)塊鏈技術(shù)想要解決的問題之一。

注意:如果有函數(shù)分享狀態(tài),跨函數(shù)競爭條件攻擊就會(huì)在多個(gè)合約中發(fā)生。

-在調(diào)用外部函數(shù)之前,應(yīng)該完成所有的內(nèi)部工作

-避免發(fā)生外部調(diào)用

-在不可避免地時(shí)候,使用外部函數(shù)“不可信”

-在外部調(diào)用不可避免的情況下,使用互斥

根據(jù)下面的合約,我們可以看到一個(gè)例子1) 在完成外部調(diào)用之前,完成內(nèi)部工作。2)將所有外部調(diào)用都設(shè)為“不可信”。我們的合約會(huì)讓資金發(fā)送到一個(gè)地址,并且允許用戶一次性將資金存入合同。

contract crossFunctionRace{

mapping (address => uint) private userBalances;

mapping (address => uint) private reward;

mapping (address => bool) private claimedReward;

//makes external call, need to mark as untrusted

function untrustedWithdraw(address recipient) public {

uint amountWithdraw = userBalances[recipient];

reward[recipient] = 0;

require(recipient.call.value(amountWithdraw)());

//untrusted because withdraw is called, an external call

function untrustedGetReward(address recipient) public {

//check that reward hasn’t already been claimed

require(!claimedReward[recipient]);

//internal work first (claimedReward and assigning reward)

claimedReward = true;

reward[recipient] += 100;

untrustedWithdraw(recipient);

我們可以看出,這個(gè)合約的首個(gè)函數(shù)在發(fā)送資金到用戶的合約/地址的時(shí)候,就會(huì)發(fā)生外部調(diào)用。同樣地,獎(jiǎng)勵(lì)函數(shù)在發(fā)送一次性獎(jiǎng)勵(lì)的時(shí)候,也會(huì)使用提現(xiàn)函數(shù),因?yàn)檫@也是不可信的。同樣重要地是,合約需要執(zhí)行所有內(nèi)部工作。就好像重入攻擊,函數(shù)untrustedGetReward()會(huì)在允許提現(xiàn)之前,讓用戶獲得一次性的獎(jiǎng)勵(lì),從而防止跨函數(shù)競爭條件攻擊。

在真實(shí)世界,智能合約不需要依賴于外部調(diào)用。事實(shí)上,外部調(diào)用在很多情況下,在工作環(huán)境中都幾乎不可能發(fā)生的。由于這個(gè)原因,使用互斥體來“定”一些狀態(tài),并且讓擁有者有能力去改變狀態(tài),可以幫助防止這類災(zāi)難。雖然互斥體非常有效,但是當(dāng)用于多個(gè)合約的時(shí)候,都會(huì)變的很棘手。如果你使用互斥體來防止這類攻擊,你需要很仔細(xì)地確保沒有其他方法來鎖定,或者永遠(yuǎn)不會(huì)釋放。如果使用互斥體的方法,在寫入智能合約的時(shí)候,你需要保證你完全理解潛在的危險(xiǎn)。

contract mutexExample{

mapping (address => uint) private balances;

bool private lockBalances;

function deposit() payable public returns (bool) {

/*check if lockBalances is unlocked before proceeding*/

require(!lockBalances);

/*lock, execute, unlock */

lockBalances = true;

balances[msg.sender] += msg.value;

lockBalances = false;

return true;

function withdraw(uint amount) payable public returns (bool) {

/*check if lockBalances is unlocked before proceeding*/

require(!lockBalances && amount > 0 && balances[msg.sender]

>= amount);

/*lock, execute, unlock*/

lockBalances = true;

if (msg.sender.call(amount)()) {

balances[msg.sender] -= amount;

lockBalances = false;

return true;

以上,我們可以看到合約mutexExample()會(huì)有私人鎖定狀態(tài),來實(shí)行deposit()函數(shù)功能和withdraw()函數(shù)。鎖定會(huì)防止用戶能夠在所有的初步調(diào)用完成之前,成功完成withdraw()調(diào)用,可以防止任何種類的跨函數(shù)競爭條件攻擊。

最后的結(jié)果

力量越大,責(zé)任越大。雖然區(qū)塊鏈和智能合約技術(shù)每天都在革新,但是風(fēng)險(xiǎn)依然很高。攻擊者從沒有放棄去尋找機(jī)會(huì)來攻擊這些合約。這取決于我們來保證,我們可以從之前項(xiàng)目的問題中學(xué)習(xí)經(jīng)驗(yàn),來讓我們獲得成長。希望通過這篇文章,以及其他系列文章,你可以更明白智能合約攻擊。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運(yùn)營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動(dòng)力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉