【原创】智能合约安全事故回顾分析(1):The Dao事件

首先需要说明的一点是,这个世界上没有绝对安全的技术。在区块链发展的十年里,各种基于区块链的数字货币引发的安全事故层出不穷,这些安全威胁主要来源有三个方面:

  1. 自身安全机制的问题,类似智能合约。

  2. 生态安全问题,交易所,矿池,网站等等。

  3. 使用者安全问题,包括个人账号密码的泄露,被钓鱼等。

作为普通的开发人员或者有一定编程知识的从业人员,我们首先应该确保的是自身安全机制没有问题,当然这个“没有问题”是一个相对的概念。智能合约的安全为什么这么重要,这很大原因在于智能合约编程和传统编程的巨大区别:

  1. 智能合约本身开发简单,但是却能够存储几千万到几十亿的的资产。

  2. 智能合约部署的过程是一次共识的过程,如果部署以后发现了安全问题,不能通过传统的打补丁或者升级的方式来避免。必须在设计和编码的过程中处理好这些容错和异常终止逻辑。

  3. 智能合约的代码都是开放的,多任何人可见。这其中就包括了一些不怀好意的黑客,没有传统开发过程中的加密,访问控制。

本系列希望通过对过往发生的一些安全事故的回顾,来提醒或者说警醒各位开发者,在开发的过程中,即便不能做到百分百安全,那么起码能做到“吸取前人的教训”,避免已经发生过的安全事故再次发生。

本文介绍的是对以太坊影响深远的The Dao 智能合约漏洞事件

事件介绍

The Dao 是一个去中心化的自治风险投资基金,通过发布的智能合约来募集资金,参与者可以通过投票的方式来投资以太坊上的应用,如果盈利,参与者就能获得回报。2016年6月17日,一名黑客发现了The Dao募资合约的漏洞,使得他可以无限的从合约中转出资金,短短几小时,360万的以太币被转出。这件事对以太坊的发展产生了巨大的影响,最后为了弥补用户的损失V神智能采用软分叉的方式,即所有通过这个The Dao的合约来减少新增用户余额的方式都被视为无效。

漏洞原因

首先请读者看一下合约中的代码,这端代码的业务逻辑是:如果用户不同意其他用户的投票,可以选择分裂出去。简单的说就是用户拿钱给基金会投资,中间用户如果反悔可以随时退钱。

//用户选择分裂出去调用的函数
function splitDAO(uint _proposalID, address _newCurator) noEther onlyTokenholders returns (bool _success) {
    // ...
    //利用平衡数组计算应该转移多少代币 p是提案对象
    uint fundsToBeMoved = (balances[msg.sender] * p.splitData[0].splitBalance) / p.splitData[0].totalSupply;
    if (p.splitData[0].newDAO.createTokenProxy.value(fundsToBeMoved)(msg.sender) == false)
       
        throw;
    // ...
    // Burn DAO Tokens
    Transfer(msg.sender, 0, balances[msg.sender]);
    withdrawRewardFor(msg.sender);  // 转移对应的金额给用户
    // XXXXX Notice the preceding line is critically before the next few
    totalSupply -= balances[msg.sender];    // 相应变量更新
    balances[msg.sender] = 0;   // 余额置为0
    paidOut[msg.sender] = 0;
    return true;
}

function withdrawRewardFor(address _account) noEther internal returns(bool _success) {
    if ((balanceOf(_account) * rewardAccount.accumulatedInput()) / totalSupply < paidOut[_account])
        throw;
    uint reward = (balanceOf(_account) * rewardAccount.accumulatedInput()) / totalSupply - paidOut[_account];
    if (!rewardAccount.payOut(_account, reward))    // XXXXX vulnerable
        throw;
    paidOut[_account] += reward;
    return true;
}

function payOut(address _recipient, uint _amount) returns (bool) {
    if (msg.sender != owner || msg.value > 0 || (payOwnerOnly && _recipient != owner))
        throw;
    if (_recipient.call.value(_amount)()) { // XXXXX vulnerable
        PayOut(_recipient, _amount);
        return true;
    } else {
        return false;
    }
}

  

 

上面的代码在了解业务很容易明白:

用户提出分裂--》合约计算应该退给用户的金额--》调用call函数发送金额给用户--》用户的账户余额归为0,即先是调用splitDAO,splitDao中调用withdrawRewardFor,withdrawRewardFor中调用payOut执行转账。

乍一看没什么问题,讲述黑客的攻击手段之前,回顾一下solidity编程中的知识点:如果call函数的调用结果是true就一定是执行成功的吗?答案是NO,因为有可能是执行了回调函数。当调用call.value的时候,会把所有的gas发送到合约地址上并执行默认函数。所以这个默认函数将会有足够的gas执行任何操作,包括重新调用原合约的接口。本次攻击的黑客正式利用了这一点。

攻击手段

  1. 黑客先是通过自己创建了一个合约Child Dao,这个合约拥有一个回调函数,这个函数的作用就是去调用The Dao中的splitDao。

  2. 黑客提交了splitDao,地址是Child Dao的地址,当然在此之前的操作都是合法的操作,满足The Dao定义的调用splitDao的条件。

  3. 结合上面的代码,你会发现,开发者的代码先是在函数withdrawRewardFor中把金额退还给了用户,然后在退出函数之后将用户的余额置为0。那么如果攻击者在withdrawRewardFor和余额置空之间在此调用withdrawRewardFor,将会再次向攻击者提交的地址转移账户金额。结合刚才介绍的call函数知识点,聪明的读者应该能够想到攻击的原理了。黑客利用了call函数的机制,在合约中再次调用转账申请,由于上一次转账申请的余额还没有更新,所以第二次也会成功。相当于在循环中的重复调用自己,编程中的递归。

如何防范

其实The Dao的开发者的漏洞代码在传统的编程中没有任何问题,传统编程为了应对事务处理的结果,往往在转账之后进行余额的更新,因为有可能因为网络等原因导致转账不成功,如果程序提前把用户的账户余额置为0则容易引发数据丢失的问题。本次The Dao事件的代码修复可以从多方面来考虑:

  1. 调整代码顺序,在转账之前执行余额减扣。

  2. 避免不可控的函数调用,黑客利用call函数fallback的调用机制来攻击,这个场景其实在很多别的攻击事件中也可能发生,后面介绍的DOS攻击中黑客也利用了这一点。一方面应该避免这种方式调用,其实还应该避免在合约中直接使用转账操作,可以在设计的时候提供一个转账mapping,每个用户可以提现金额的多少对应其中的key value,让用户主动去操作这个接口完成调用。因为合约主动调用本身就存在安全隐患,合约的权限大于所有人。

posted @ 2019-01-04 10:30  像我这样的人  阅读(1883)  评论(0编辑  收藏  举报