从solidity语言特性深度解读以太坊智能合约漏洞原理和攻击利用

宣布时间 2018-08-02

1 概述

随着区块链、以太坊技术的兴起和不停成熟，宁静问题也随之而来，今年智能合约漏洞已经让多个区块链项目价值瞬间归零。智能合约的开发语言、设计模式、运行机制都与传统应用有较大差异，它既有传统的宁静风险(如整数溢出等)，又有奇特的新型风险(如私有变量不“私有”和特殊类型变量笼罩等)。研发人员如果不能深刻理解这些核心原理，则很容易编写出存在漏洞的智能合约；恶意合约也可以通过这种要领留下隐蔽漏洞，欺骗合约投资人并暗地里收割。本文以WCTF2018的一道智能合约漏洞赛题[1]为例，从solidity语言特性出发，深度解读以太坊智能合约漏洞原理和攻击利用。

2 漏洞合约分析

该合约是一个银行类合约，用户可以存入eth到该合约，并在存入到期之后取出。原题对该合约描述如下：

该合约中存在漏洞，攻击者利用漏洞可以偷取合约中的所有余额。漏洞涉及到整数溢出、变量笼罩以及由变量笼罩导致的变量相互影响。

合约源码如下：

要提取合约的全部合约余额，confiscate 函数是要害，但该函数调用乐成必须满足：

? msg.sender == owner

? secret == _secret

? now >= balances[account].deposit_term + 1 years

攻击者可以通过合约存储访问、整数溢出和变量笼罩来依次结构上述条件。

2.1 solidity全局变量存储

在BelluminarBank合约中，一共有4个全局变量，分别是balances、head、owner、secrete。它们的默认访问属性是private，看上去只有合约自己能够访问这些变量。事实上，合约的所有变量数据都是果然存储在链上的区块中，任何人都可以通过访问存储数据来获得这些变量的值[2]。在solidity语言中，全局变量都存储在storage中，凭据solidity的变量存储规则，定长的变量在storage中是顺序存储的，数组变量在storage中其索引位置存放的是其数组长度（参见[3]）。该合约storage中的变量存储结构如下：

东森·(中国区)官方网站

对于在公链部署的合约，可通过以太坊web3接口web3.eth.getStorageAt(co ntractAddress, index)获取某个合约指定storage索引的数据。

因此，secrete并不是一个不行获取的私有数据，攻击者只需要访问该合约storage中的数据就可以结构confiscate 函数的secret == _secret条件。

2.2 solidity全局变量笼罩

BelluminarBank合约中的confiscate函数要求调用者必须是合约拥有者才可以进行余额提取操作，看上去攻击者是无法提取的。然而，由于solidity语言的局部变量存储特性，导致本合约的owner变量可以被修改，笼罩问题泛起在 invest 函数中。

首先来看solidity局部变量笼罩全局storage的问题。solidity语言的变量存储有一个特性，即数组、映射、结构体类型的局部变量默认是引用合约的storage [4]，而全局变量默认存储在storage中。因此，如果这些局部变量未被初始化，则它们将直接指向storage，修改这些变量就是在修改全局变量。

以如下的简单合约test为例，函数test1中界说了一个局部结构体变量x，但是没有对其进行初始化。凭据solidity的变量存储规则，这时候x是存储在storage中的，而且是从索引0开始，那么对其成员变量x,y赋值之后，恰好笼罩了全局变量a和b。有兴趣可以在 remix 中在线对本合约进行调试。

pragma solidity 0.4.24;

contract test {

struct aa{

uint x;

uint y;

}

uint public a = 4;

uint public b = 6;

function test1() returns (uint){

aa x;

x.x = 9;

x.y = 7;

}

}

在invest函数的else分支中，使用了一个局部结构变量investment。该局部变量在当前执行分支中并没有被初始化，默认指向合约的storage。执行中对该变量的成员赋值就会直接笼罩全局变量，笼罩关系为：

同时，在变量笼罩之前必须满足如下条件，即存款期限是最末一个存款记录的期限后一年：deposit_term >= balances[balances.length - 1].deposit_term + 1 years。由于deposit_term是用户提供的，轻松就可以满足。

所以，通过精心结构invest函数的参数就可以笼罩stroage中的sender，从而改变该合约的拥有者为攻击者，突破confiscate 函数的msg.sender == owner限制。

2.3 整数溢出

在BelluminarBank合约源码的confiscate函数还有另外一个如下的时间限制，即必须在存款满一年后才气提取，now >= balances[account].deposit_term + 1 years。

上一节用于全局变量笼罩的存款操作使得balances中最末一个存储记录的期限已经是1年后，即攻击者至少在2年后才气调用confiscate函数进行提款。与此同时，deposit_term在赋值给局部变量的时候会把全局变量head笼罩为超大的数，这也使得后续的for (uint256 i = head; i <= account; i++)循环处置无法提取全部的存款，因为head不为0。

显然，必须把head笼罩为0才气提取全部的存款，即invest函数的deposit_term参数必须为0。但如果该参数为0，又无法满足invest函数的全局变量笼罩执行的条件deposit_term >= balances[balances.length - 1].deposit_term + 1 years。

仔细分析可发现，如果balances[balances.length - 1].deposit_term+ 1 years恰好即是0，则上述的条件恒为真。显然，balances[balances.length - 1].deposit_term只要取值为(uint256_max – 1 years + 1)，就会导致相加后的值为uint256_max+1。这个结果会凌驾uint256的表达空间，发生溢出导致最后的值为0。

因此，攻击者先做第一次存款，把balances最后一项的deposit_term设置为特殊值；然后做第二次存款，deposit_term传入0值，就能触发整数溢出，绕过变量笼罩条件限制并修改head为0值。

2.4 “变量纠缠”的副作用

在全局变量笼罩中，很容易发生“变量纠缠”现象，从而触发一些容易被忽视的副作用。这里以一个简单合约test为例，函数testArray中依然存在结构体局部变量a笼罩全局变量x的情况。但由于x是数组变量，其直接索引的storage存储位置仅存储其数组长度，也就是a.x只会笼罩x的数据长度，而a.y将笼罩变量num。

在testArray函数中，赋值操作a.x = 5时，因为x.length与变量a.x处于同一存储位置，赋值后数组x的长度酿成了5。接下来，赋值a.y，并将变量a加入到数组x。所以变量a实际上加入到了数组x索引为5的位置。如果调试testArray函数执行，会发现在函数执行完毕之后，x[5].x = 6, x[5].y = 7。

这是为什么呢？明明代码中赋值写的是 a.x = 5，a.y = 7。这就是全局变量x和局部变量a形成了“纠缠”，首先是局部变量a修改导致全局变量x改变，然后是全局变量x修改导致了局部变量修改，最后把修改后的局部变量又存储到修改后的全局变量。这里即是，赋值操作a.x = 5时，把数组x的长度酿成了5; 接下来x.push操作，实际上是先将该数组x的长度加1，此时a.x = 6; 最后再把a.x = 6, a.y=7加入到x[5]。所以，存入数据的x就是新数组的长度6。

pragma solidity 0.4.24;

contract test {

struct aa{

uint x;

uint y;

}

aa [] x;

uint public num = 4;

function testArray() returns (uint){

aa a;

a.x = 5;

a.y = 7;

x.push(a);

}

}

3 漏洞利用方式

在第2节中对合约 BelluminarBank存在的几个漏洞进行了分析，下面将说明如何利用这个漏洞提取合约的全部余额，这里在Remix在线编译环境中部署该合约，并演示其利用方式。

首先部署合约，在部署参数中设置secrete 为“0x01”，deposit_term为1000，msg.value为 31337 wei。

部署合约后，合约的全局变量如下图所示：

这样，合约目前的余额是 31337 wei，合约拥有者的地址为：0xca35b7d915458ef54 0ade6068dfe2f44e8fa733c。

下面开始需要结构条件使得攻击者可以乐成调用confiscate函数。

步骤1: 笼罩owner并结构整数溢出条件

要想转走合约余额，首先必须修改合约的owner。利用局部结构体 investment 修改合约owner，需满足条件：

（1）account < head or account >= balances.length

（2）deposit_term >= balances[balances.length – 1].deposit_term + 1 years

设置攻击者（0x1472…160C）的invest调用参数如下：

? msg.value = 1 wei (因为在合约初始化时owner已经存入一笔金额，所以此时balances数组长度为1，为了不改变balances数组长度，这里依然将其设置为1 we i

? depositsit_term = 2^256 - 1 years = 115792089237316195423570985008687907853269984665640564039457584007913098103936 （在步骤2中需要利用这个数值结构溢出，同时这个值可以使源码中 require 条件得到满足）

? account = 1 (满足条件 account >= balances.length)

调用之后，新的存款记录数据将存放在balances数组索引为1的位置。此时的balances数组情况和全局storage变量情况如下图所示。

可以发现，owner已经修改为攻击者地址，同时head被传入的deposit_term笼罩为一个超大值。

而提取余额是从balances数组中head索引开始的存款记录开始计算数额的。显然，为了提取到合约owner的余额，即balances[0]账户的余额，head必须被笼罩为0。因此，需要进行第二次storage变量笼罩，修改head。

步骤2: 恢复head并绕过deposit_term限制

继续设置攻击者调用invest的参数：

? msg.value = 2wei (同样保证balances的长度笼罩后不泛起错误)

? deposit_term = 0: 恢复head

? account = 2 (满足条件 account >= balances.length 即可)

因为在步骤 1 中，已经将balances[1].deposit_term 设置为 2^256 -1 years，因此在第二次调用 invest 函数时，由于balances[balances.length - 1].deposit_term + 1 years”溢出为0满足了require条件，所以可以乐成进行第二次笼罩。

这样即满足了调用confiscate函数的条件msg.sender == owner，通过读取storage很容易获得secrete，条件secret == _secret 也可以满足，同时还重新笼罩了head使之变为0 。

笼罩之后全局storage变量和balances数组如下图所示：

可以发现head已经修改为0了。

现在来看看第三个条件：

now >= balances[account].deposit_term + 1 years

account是传入的数据，目前合约中account数量为3。在前面的invest调用后， balances[2].deposit_term = 0。显然条件 now >= balances[2].deposit_term + 1 years 建立，所以在恢复head数据的同时，也绕过了confiscate函数中对于存款期限的判定。接下来只要调用函数confiscate时，设置account 为 2，便可使时间判断条件满足，同时也能提取所有账户的余额。

步骤3: 增加合约余额

经过步骤1和步骤2，好像攻击者已经可以调用confiscate函数提取所有余额了，然而实际上是不行的。交易会发生回滚，这是为什么呢？

仔细分析前面的数据就会发现，步骤1中msg.value为 1 wei，但是最后balances数组中的balances[1].amount 却酿成了 2 wei。这是因为变量笼罩过程中发生了“纠缠”副作用，由于msg.value笼罩balances数组的长度，balances更新前增加了数组长度，数组长度又改变了msg.value，最后导致存入的amount酿成了新的数组长度，即2。

所以，每次调用invest函数进行变量笼罩，存款记录的账目金额都比调用者实际支付的msg.value大。下图是两次调用invest之后的balances数组情况。

从图中可以看出，存款记录中的账面值会比实际交易的msg.value多 1 wei。通过confiscate函数计算得到的所有账户总额为31342 wei，而实际的合约账户总余额为 31340 wei。

为了能够将合约中所有余额提取出来，需要增加合约的真实余额，使其同存款记录中的余额相等。然而，通过invest方式增加的余额都市被计入账面余额，那么怎么在不通过invest函数的情况下增加合约的真实余额呢？

答案是selfdestruct函数。

selfdestruct函数会将该合约的余额转到指定账户，然后从区块链中销毁该合约的代码和storage。该函数的官方文档说明[5]如下：

因此，可以结构一个合约，然后在合约中调用selfdestruct函数将合约的余额转给BelluminarBank合约。为此，结构如下合约：

contract donar{

function donar() public payable{

selfdestruct(contractAddr);

}

}

该合约创建后马上销毁，同时将自己的余额转给银行合约。

在 remix 中编译该合约，同时将 contractAddr替换为银行合约地址。然后在deploy该合约时，设置 msg.value 为2 wei。当合约创建又销毁之后，其余额（2wei）将转给银行账户，使银行合约的账面余额和实际余额一致，这样confiscate函数调用就能够正确执行。

Donar合约部署设置如下：

合约部署完之后，BelluminarBank 合约余额如下图：

步骤4：调用confiscate提取合约余额

经过上面的操作之后，设置confiscate函数的参数为[2，“0x01”]即可将合约的全部余额转走。

参考链接：

【1】https://github.com/beched/ctf/tree/master/2018/wctf-belluminar

【2】https://solidity.readthedocs.io/en/v0.4.24/security-considerations.html#private-information-and-randomness

【3】https://medium.com/aigang-network/how-to-read-ethereum-contract-storage-44252c8af925

【4】 http://solidity.readthedocs.io/en/v0.4.24/frequently-asked-questions.html

【5】https://solidity.readthedocs.io/en/v0.4.24/introduction-to-smart-contracts.html?highlight=selfdestruct

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

从solidity语言特性深度解读以太坊智能合约漏洞原理和攻击利用

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线