本篇部落格文章是該系列文章的第一篇,將講述一些現實中智慧合約的安全漏洞,它們是如何被利用的,產生了什麼影響和相應的程式碼修復。本篇文章講述的智慧合約的安全漏洞,曾導致超過2.5億美元以太坊的損失。
什麼是智慧合約?是一種旨在以資訊化方式傳播、驗證或執行合同的計算機協議。智慧合約允許在沒有第三方的情況下進行可信交易,這些交易可追蹤且不可逆轉。想想區塊鏈2.0,其中交易呼叫程式碼執行。這些自主專案發行和管理私人貨幣,實施新的融資系統,標記資本資產,啟用新的商業模式,甚至培育出被稱為CryptoKitties的數字貓!令人著迷且蓬勃發展的智慧合約世界已經在這裡,每天都有超過10億美元的以太坊交易。
限制智慧合約發展的主要挑戰之一是安全性。眾所周知,“每個程式總會存在一個或多個Bug,而且有些Bug可能會帶來災難性的毀壞"。對於智慧合約,無論程式碼行為與開發人員意圖有何差異,都可能存在安全漏洞。在智慧合約程式碼中,無論是程式碼執行偏離開發者了目的,都可能存在安全漏洞。
Solidity是專為以太坊智慧合約開發的一種新語言,與JavaScript、Java和C有許多相似之處。合約被編譯為bytecode,透過特殊的交易寫入區塊鏈,並最終在以太坊虛擬機器的促進下執行其他交易。
本篇部落格文章將專門介紹資料越權訪問( Broken Access Control )。儘管智慧合約提供了具有獨特新穎性的執行環境,但這無疑不是一個新問題。在2017年開放Web應用程式安全專案(OWASP)應用程式安全風險的前10名列表中,可以在第5項中找到此主題。此外,資料越權訪問主題遍及Java的SEI CERT Oracle編碼標準,並且漏洞對映到幾個常見的Bug中。智慧合約主要面臨與公共執行環境的安全,不可變更的性質,不同的利益相關者類別以及邏輯複雜性相關的獨特挑戰。
程式碼展示,下面一段Solidity程式碼主要摘錄於Parity Multisig Wallet合約用於管理加密貨幣使用者帳戶,實際部署的程式碼可以透過Etherscan區塊瀏覽器找到。下面顯示的前三個函式宣告(在第1、6和16行上)是關鍵,每個函式中都有一個小Bug。initWallet()函式是初始化過程的一部分,該初始化過程將在合約建立時執行一次。然後,該函式呼叫initMultiowned()和initDaylimit(),分別處理記錄所有權詳細資訊和交易限制。下面顯示的第四個也是最後一個函式宣告(第21行)非常好,但是可能會為您提供一些小提示,指出可能會出錯的地方...
function initWallet(address[] _owners, uint _required, uint _daylimit) {
initMultiowned(_owners, _required);
initDaylimit(_daylimit) ;
}
function initMultiowned(address[] _owners, uint _required) {
m_numOwners = _owners.length ;
m_required = _required;
for (uint i = 0; i < _owners.length; ++i)
{
m_owners[1 + i] = uint(_owners[i]);
m_ownerIndex[uint(_owners[i])] = 1 + i;
}
}
function initDaylimit(uint _limit) {
m_dailyLimit = _limit;
m_lastDay = today();
}
function execute(address _to, uint _value, bytes _data) onlyOwner returns(bool _callValue) {
... // execute transactions!
}
Bug1:上面所示的第四個也是最後一個函式宣告(第21行)包括onlyowner修飾符,它充當閘道器守護者,將execute()函式的呼叫能力限制為智慧合約所有者。這裡我們看到修飾符背後的一個主要目的,它們支援基於每個函式的細粒度訪問控制。稽覈員(和駭客)將透過缺少修飾符來檢查每個功能的訪問控制弱點。initWallet()函式應該類似地包含一個Gatekeeper修飾符,該修飾符將函式的執行限制為僅在未初始化合約時(例如僅執行一次)。這裡沒有修飾符,因此可以重複呼叫initwallet()函式,其後呼叫的引數將覆蓋先前呼叫的引數。這些引數包括合同所有者的(新)地址。是的,所有權可以反覆更改!嗯...
Bug2:此外智慧合約函式還可以透過具有不同的可見性修飾符(如internal、external、public等)來約束。上面的中間兩個函式宣告(第6行和第16行)是合約本身內部初始化方案的一部分,並且因此應標記為“internal”,以限制外部訪問。但是,此處未指定可見性修飾符,因此預設為public。是的,任何人都可以呼叫這些功能!嗯...
發生了什麼?攻擊者呼叫了上面顯示的initWallet()函式,將所有權轉讓給自己,並設定了一天的上限(交易)。Etherscan清楚地顯示了此事務。接下來,攻擊者呼叫了execute()函式(現在是合約所有者)將以太坊從合約中轉移到他們自己的賬戶中。Etherscan在清楚地顯示了這一系列交易,其中單個交易位於頁面底部,頂部附近顯示3000萬美元的帳戶餘額。此後不久,兩個白帽團隊迅速介入,搶佔了包含2億美元以上的其他賬戶,隨後又返還給合法所有者。
讓我們修復它。關鍵問題歸結為能夠設定所有權的初始化功能,不幸的是,任何人都可以重複呼叫它。關於其他兩個功能的可見性問題是相關的,但是也請記住“總是存在另一個錯誤”。相應的修復並不複雜,實際的GitHub編輯如下所示。字首為“-”的行已從合同程式碼中刪除,而字首為“ +”的行已新增。此修復程式有4個部分。
+ // throw unless the contract is not yet initialized.
+ modifier only_uninitialized { if (m_numOwners > 0) throw; _; }
- functioninitWallet(address[] _owners, uint _required, uint _daylimit) {
+ functioninitWallet(address[] _owners, uint _required, uint _daylimit) only_uninitialized{
- functioninitMultiowned(address[] _owners, uint _required) {
+ functioninitMultiowned(address[] _owners, uint _required) internal{
- functioninitDaylimit(uint _limit) {
+ functioninitDaylimit(uint _limit) internal{
回想起來很簡單?首先,在第2行建立一個名為“only_uninitialized”的修飾符,用為作閘道器守護者-它透過在合約已經初始化時引發異常來防止執行。其次,將此修飾符應用於第5行的initWallet()函式,以便初始化只能執行一次。最後,在第8行和第11行上,使用internal標記initMultiowned()和initDaylimit()函式,因此無法從合約外部呼叫它們。
回想起來,這些Bugs看起來很簡單,但仍然存在缺陷,這也不是最後一個Bug。在這種情況下,在某些新穎的情況下,一切都歸結為資料越權訪問( Broken Access Control )。本篇文章是非常仔細地檢查函式修飾符和函式可見性,以發現資料越權訪問( Broken Access Control )的弱點。
