星球日报
搜索
手机客户端
iPhone · Android
微信公众号
微信公众号

iPhone · Android

微信公众号

详解:以太坊漏洞可导致“重入攻击”

2019-01-23

而且目前还没有检测出来有合约正好会触发这个重入漏洞,但不排除这种可能性。

编者按:本文来自 DVPNET(ID:DVPNET),作者 BCSEC,Odaily星球日报经授权转载。

1 月 16 日凌晨,以太坊准备进行君士坦丁堡硬分叉的前一日被披露出来了一则漏洞,该漏洞由新启动的 EIP 1283引起,漏洞危害准确的说应该是一种可能会让一些合约存在重入漏洞的隐患,而不是一定会使合约产生重入漏洞。该漏洞在被发现之后以太坊基金会立马宣布了停止硬分叉,并商议择日再启动以太坊君士坦丁堡硬分叉。

一、导致以太坊延迟硬分叉的 EIP 1283到底是什么?

EIP 的全称是 Ethereum Improvement Proposals(以太坊改进提案),任何人都可以上去提一些对以太坊的改进提案,不过必须得严谨、正式,以太坊君士坦丁堡这次漏洞就是由一个 EIP 引起的,这个 EIP 的编号是 1283。EIP 1283 使以太坊虚拟机使执行智能合约的引擎更高效,并降低在以太坊上运行智能合约的成本。

该提案是针对 SSTORE 操作码的,该操作码主要用于合约持久化存储数据,EIP1283 为 SSTORE 操作码设计了更加合理的 gas 收费方式。

详情地址如下:

https://eips.ethereum.org/EIPS/eip-1283

为什么需要EIP 1283?

EIP-1283 提案由 Wei Tang(@sorpass) 于 2018 年 8 月 1 日创建,作为 EIP-1087 和 EIP-1153 的替代方案。EIP-1087 由 Nick Johnson 创建,主要是改变 EVM SSTORE 运行 gas 费用收取方式,减少过多的gas费用成本;EIP-1153 由 Alexey Akhunov 创建,相比 EIP-1087 更加便宜,gas 费用计算规则更加简单。EIP-1283 提出了在 SSTORE 上进行 gas 计量的方案,为数据存储的变化引进更加合理公平的定价方案。

其中定义了三个概念:

  • 存储槽的原始值(original):在当前事务发生回滚(revert)后会存在的值叫原始值。

  • 存储槽的当前值(current):在使用SSTORE操作码之前存在的值叫当前值。

  • 存储槽的新值(new):在使用SSTORE操作码之后存在的值叫新值。

然后以这三个概念为基础,设计了如下处理逻辑:

详解:以太坊漏洞可导致“重入攻击”

如果当前值等于新值(这是无操作),则扣除 200 gas。

如果当前值不等于新值

    如果原始值等于当前值(此存储槽未被当前执行上下文更改)

        如果原始值为 0,则扣除 20000 gas。

        否则,扣除 5000 gas。如果新值为 0,则在退款计数器中增加 15000 gas(退款计数器中记录的gas会退还给用户)。

    如果原始值不等于当前值(代表此存储槽”脏”了),则扣除 200 gas。

        如果原始值不为 0

            如果当前值为 0(也表示新值不为0),请从退款计数器中减少 15000 gas。

            如果新值为 0(也表示当前值不为0),请向退款计数器中增加 15000 gas。

        如果原始值等于新值(此存储槽已重置)

            如果原始值为 0,则将退款计数器中增加 19800 gas。

            否则,则在退款计数器中增加 4800 gas。

根据如上的逻辑可以发现,当使用 SSTORE 操作码的时候如果不改变任何值的时候,只消耗 200 gas。如果改变了值最终又重置为0的话也只消耗 20000 + 200 - 19800 = 400 gas。

而在之前 EIP 1087 的逻辑中如果使用 SSTORE 操作码改变了值最终又重置为 0 的话需要消耗 20000 + 5000 - 10000 = 15000 gas。

显然 EIP 1283 的处理逻辑比 EIP 1087 更加合理,也更加便宜,但是问题就在这里。

二、EIP 1283漏洞分析

重入漏洞是指在同一笔交易中因两个合约互相调用而导致合约进行重复转账的一种现象,其产生的根源是没有使转账作为事务的最后一个步骤。

比如说,如果在转账之后再进行状态变更的话就很容易重入漏洞,最经典的一起事件就是 The DAO 事件,所以最安全的做法是一笔事务中只有一笔转账,且在转账之前做好所有状态变更,转账作为最后一个操作进行,如果以这种标准来实现的话,是不会受 EIP 1283 影响的,所以这就是为什么说 EIP 1283 只是可能使某些合约产生重入漏洞隐患。

那么,什么样的合约容易产生这种隐患?请看以下 Demo。 

详解:以太坊漏洞可导致“重入攻击”

这是一个模拟资金共享服务的合约,资金余额由 deposits 变量存储,然后由 splits 变量存储分配比例。

比如有一笔资金需要 a 和 b 共同分配

  • 首先调用init函数存储双方的钱包地址

  • 调用deposit函数向通道充钱

  • 调用updateSplit函数来改变通道的分配率

  • 执行splitFunds函数分配资金

如果1号通道的分配率是99,那么执行splitFunds函数的时候给a分配通道中99%的资金,给b分配1%的资金。

该合约大概业务就是这样,在EIP 1283生效之前,该合约是没有重入漏洞的,EIP 1283生效才会存在重入漏洞。

前面提到过了,在EIP 1283中如果将一个值更改后又重置为0 ,那么只消耗400 gas。

再看看是怎么实现按比例分配的:

详解:以太坊漏洞可导致“重入攻击”

所以我们可以将a账户设置为我们的恶意合约,在合约的fallback函数中调用updateSplit函数来改变通道的分配率,使两个地址都能分到超过通道余额总量的币.

比如说我先给a账户分配100%的通道余额,再在a账户合约fallback函数中改变通道分配率,又给b账户分配100%的余额,这样就成功套出了双倍的钱,而且攻击者可以一直套,直到掏空为止。

详解:以太坊漏洞可导致“重入攻击”

攻击者Demo:

详解:以太坊漏洞可导致“重入攻击”

Ps:为了节约gas,fallback函数中使用内联汇编来模拟调用updateSplit函数。

调用attack函数即可触发重入漏洞。

为什么说要EIP 1283生效才会产生漏洞呢,因为该合约使用transfer进行转账,transfer转账最多消耗2300 gas,在EIP 1283生效之前对变量进行更改再重置至少需要15000 gas,而生效后只需要400 gas,2300 gas上限已经足够做一些事情了。

三、漏洞复现

关于该漏洞的复现,ChainSecurity已经在Github上公开了。

先clone下来

git clone https://github.com/ChainSecurity/constantinople-reentrancy.git

然后 README 里面会告诉你怎么复现,不过在此之前先得把环境装好,需要环境:

1. nodejs(stable)

2. npm

    a. truffle:npm install -g truffle

    b. ganache-cli@beta:npm i -g ganache-cli@beta

不同的系统有不同的环境搭建方式,这里不再赘述,有了以上环境就可以进行复现了,运行以下命令:

ganache-cli --hardfork=constantinople

truffle test

运行结果:

详解:以太坊漏洞可导致“重入攻击”

在进行攻击之后成功增加攻击账户内的余额,复现完毕。

四、修复方案

修复方案预计应该会在以太坊君士坦丁堡中删除与EIP 1283有关的更新,目前以太坊开发者还在协商解决,不过笔者认为合约安全最终还是要合约来解决,不能依赖于公链本身,就像前面说的,只要合约采用的是最安全的写法便可以避免这次君士坦丁堡分叉带来的问题。

而且目前还没有检测出来有合约正好会触发这个重入漏洞,但不排除这种可能性。

参考链接

  • https://medium.com/chainsecurity/constantinople-enables-new-reentrancy-attack-ace4088297d9

  • https://github.com/ChainSecurity/constantinople-reentrancy

  • https://eips.ethereum.org/EIPS/eip-1283

  • https://eips.ethereum.org/EIPS/eip-1087

本文来自投稿,不代表Odaily立场。如若转载请注明出处。

参与讨论

登录后参与讨论

星球君的朋友们

特邀作者

星球君的朋友们

优质区块链文章转载

总文章数: 780


分享至

微信扫一扫分享

0