最新消息:图 床

以太坊合約審計 CheckList 之“以太坊智能合約編碼設計問題”影響分析報告

COOL IAM 165浏览 0评论

作者:LoRexxar’@知道創宇404區塊鏈安全研究團隊
時間:2018年9月21日

系列文章:

一、簡介

在知道創宇404區塊鏈安全研究團隊整理輸出的《知道創宇以太坊合約審計CheckList》中,把“地址初始化問題”、“判斷函數問題”、“餘額判斷問題”、“轉賬函數問題”、“代碼外部調用設計問題”、“錯誤處理”、“弱隨機數問題”等問題統一歸類為“以太坊智能合約編碼設計問題”。

“昊天塔(HaoTian)”是知道創宇404區塊鏈安全研究團隊獨立開發的用於監控、掃描、分析、審計區塊鏈智能合約安全自動化平台。我們利用該平台針對上述提到的《知道創宇以太坊合約審計CheckList》中“以太坊智能合約編碼設計”類問題在全網公開的智能合約代碼做了掃描分析。詳見下文:

二、漏洞詳情

以太坊智能合約是以太坊概念中非常重要的一個概念,以太坊實現了基於solidity語言的以太坊虛擬機(Ethereum Virtual Machine),它允許用戶在鏈上部署智能合約代碼,通過智能合約可以完成人們想要的合約。

這次我們提到的編碼設計問題就和EVM底層的設計有很大的關係,由於EVM的特性,智能合約有很多與其他語言不同的特性,當開發者沒有注意到這些問題時,就容易出現潛在的問題。

1、地址初始化問題

在EVM中,所有與地址有關的初始化時,都會賦予初值0。

如果一個address變量與0相等時,說明該變量可能未初始化或出現了未知的錯誤。

如果開發者在代碼中初始化了某個address變量,但未賦予初值,或用戶在發起某種操作時,誤操作未賦予address變量,但在下面的代碼中需要對這個變量做處理,就可能導致不必要的安全風險。

2、判斷函數問題

在智能合約中,有個很重要的校驗概念。下面這種問題的出現主要是合約代幣的內部交易。

但如果在涉及到關鍵判斷(如餘額判斷)等影響到交易結果時,當交易發生錯誤,我們需要對已經執行的交易結果進行回滾,而EVM不會檢查交易函數的返回結果。如果我們使用return false,EVM是無法獲取到這個錯誤的,則會導致在之前的文章中提到的假充值問題

在智能合約中,我們需要拋出這個錯誤,這樣EVM才能獲取到錯誤觸發底層的revert指令回滾交易。

而在solidity扮演這一角色的,正是require函數。而有趣的是,在solidity中,還有一個函數叫做assert,和require不同的是,它底層對應的是空指令,EVM執行到這裡時就會報錯退出,不會觸發回滾。

轉化到直觀的交易來看,如果我們使用assert函數校驗時,assert會消耗掉所有剩餘的gas。而require會觸發回滾操作。

assert在校驗方面展現了強一致性,除了對固定變量的檢查以外,require更適合這種情況下的使用。

3、餘額判斷問題

在智能合約中,經常會出現對用戶餘額的判斷,尤其是賬戶初建時,許多合約都會對以合約創建時餘額為0來判斷合約的初建狀態,這是一種錯誤的行為。

在智能合約中,永遠無法阻止別人向你的強制轉賬,即使fallback函數throw也不可以。攻擊者可以創建帶有餘額的新合約,然後調用selfdestruct(victimAddress)銷毀,這樣餘額就會強制轉移給目標,在這個過程中,不會調用目標合約的代碼,所以無法從代碼層面阻止。

值得注意的是,在打包的過程中,攻擊者可以通過條件競爭來在合約創建前轉賬,這樣在合約創建時餘額就為0了。

4、轉賬函數問題

在智能合約中,涉及到轉賬的操作最常見不過了。而在solidity中,提供了兩個函數用於轉賬tranfer/send。

當tranfer/send函數的目標是合約時,會調用合約內的fallback函數。但當fallback函數執行錯誤時,transfer函數會拋出錯誤並回滾,而send則會返回false。如果在使用send函數交易時,沒有及時做判斷,則可能出現轉賬失敗卻餘額減少的情況。

function withdraw(uint256 _amount) public {
    require(balances[msg.sender] >= _amount);
    balances[msg.sender] -= _amount;
    etherLeft -= _amount;
    msg.sender.send(_amount);  
}

上面給出的代碼中使用 send() 函數進行轉賬,因為這裡沒有驗證 send() 返回值,如果msg.sender 為合約賬戶 fallback() 調用失敗,則 send() 返回false,最終導致賬戶餘額減少了,錢卻沒有拿到。

5、代碼外部調用設計問題

在智能合約的設計思路中,有一個很重要的概念為外部調用。或是調用外部合約,又或是調用其它賬戶。這在智能合約的設計中是個很常見的思路,最常見的便是轉賬操作,就是典型的外部調用。

但外部調用本身就是一個容易發生錯誤的操作,誰也不能肯定在和外部合約/用戶交互時能確保順利,舉一個合約代幣比較常見的例子

contract auction {
    address highestBidder;
    uint highestBid;
    function bid() payable {
        if (msg.value < highestBid) throw;
        if (highestBidder != 0) {
            if (!highestBidder.send(highestBid)) { // 可能會發生錯誤
                throw;
            }
        }
       highestBidder = msg.sender;
       highestBid = msg.value;
    }
}

上述代碼當轉賬發生錯誤時可能會導致進一步其他的錯誤,如果碰到循環調用bid函數時,更可能導致循環到中途發生錯誤,在之前提到的ddos優化問題中,這也是一個很典型的例子。

而這就是一個典型的push操作,指合約主動和外部進行交互,這種情況容易出現問題是難以定位難以彌補,導致潛在的問題。

6、錯誤處理

智能合約中,有一些涉及到address底層操作的方法

address.call()
address.callcode()
address.delegatecall()
address.send()

他們都有一個典型的特點,就是遇到錯誤並不會拋出錯誤,而是會返回錯誤並繼續執行。

且作為EVM設計的一部分,下面這些函數如果調用的合約不存在,將會返回True。如果合約開發者沒有注意到這個問題,那麼就有可能出現問題。

call、delegatecall、callcode、staticcall

http://rickgray.me/2018/05/26/ethereum-smart-contracts-vulnerabilities-review-part2/#4-Unchecked-Return-Values-For-Low-Level-Calls

7、弱隨機數問題

智能合約是藉助EVM運行,跑在區塊鏈上的合約代碼。其最大的特點就是公開和不可篡改性。而如何在合約上生成隨機數就成了一個大問題。

Fomo3D合約在空投獎勵的隨機數生成中就引入了block信息作為隨機數種子生成的參數,導致隨機數種子只受到合約地址影響,無法做到完全隨機。

function airdrop()
    private 
    view 
    returns(bool)
{
    uint256 seed = uint256(keccak256(abi.encodePacked(
        (block.timestamp).add
        (block.difficulty).add
        ((uint256(keccak256(abi.encodePacked(block.coinbase)))) / (now)).add
        (block.gaslimit).add
        ((uint256(keccak256(abi.encodePacked(msg.sender)))) / (now)).add
        (block.number)
    )));
    if((seed - ((seed / 1000) * 1000)) < airDropTracker_)
        return(true);
    else
        return(false);
}

上述這段代碼直接導致了Fomo3d薅羊毛事件的誕生。真實世界損失巨大,超過數千eth。

8萬筆交易「封死」以太坊網絡,只為搶奪Fomo3D大獎?
Last Winner

三、漏洞影響範圍

使用Haotian平台智能合約審計功能可以準確掃描到該類型問題。

转载请注明:IAMCOOL » 以太坊合約審計 CheckList 之“以太坊智能合約編碼設計問題”影響分析報告

0 0 vote
Article Rating
Subscribe
Notify of
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x