区块链安全DAO攻击事件解析

作者&＃xff1a;隐形人真忙
作者博客&＃xff1a;http://blog.csdn.net/u011721501/article/details/79450122

0x00 前言

最近关注了一下区块链方面的安全&＃xff0c;因此翻出来之前的DAO攻击事件研究了一番&＃xff0c;形成此文。

之后可能还会发一些其他的安全分析文章。

0x00 基础知识

1.跨合约调用

智能合约之间的调用本质上是外部调用&＃xff0c;可以使用message call或者创建智能合约对象的形式进行调用。

&＃xff08;1&＃xff09;使用message call

比如合约1调用合约2的某个方法&＃xff1a;

bytes4 methodId &＃61; bytes4(keccak256("increaseAge(string,uint256)"));
return addr.call(methodId,"jack", 1);

&＃xff08;2&＃xff09;还原智能合约对象 如果已知合约的地址&＃xff0c;可以通过如下方式获取到合约对象&＃xff1a;

Contract1 c &＃61; Contract1(AddressOfContract1) ;
c.foo() ; //跨合约调用

2.智能合约发送ETH

我们可以在智能合约中用代码向某个地址&＃xff08;这个地址可以是人&＃xff0c;也可以是智能合约&＃xff09;发送以太币&＃xff0c;比较常见的两个方式是&＃xff1a;

&＃xff08;1&＃xff09;调用send函数

比如&＃xff1a;msg.sender.send(100)

&＃xff08;2&＃xff09;使用message call

msg.sender.call.value(100)()

这两个方式不同的是发送的gas数量&＃xff0c;gas就是执行opcode需要花费的一种币&＃xff0c;称作为gas也特别形象。当调用send方法时&＃xff0c;只会发送一部分gas&＃xff0c;准确地来讲&＃xff0c;是2300gas&＃xff0c;一旦gas耗尽就可能抛出异常。

而使用message call的时候&＃xff0c;则是发送全部的gas&＃xff0c;执行完之后剩余的gas会退还给发起调用的合约。

3.fallback函数

智能合约中可以有唯一的一个未命名函数&＃xff0c;称为fallback函数。该函数不能有实参&＃xff0c;不能返回任何值。如果其他函数都不能匹配给定的函数标识符&＃xff0c;则执行fallback函数。

当合约接收到以太币但是不调用任何函数的时候&＃xff0c;就会执行fallback函数。如果一个合约接收了以太币但是内部没有fallback函数&＃xff0c;那么就会抛出异常&＃xff0c;然后将以太币退还给发送方。

下面就是一个fallback函数的代码示例&＃xff1a;

contract Sample{ function () payable{ // your code here }
}

一般单纯使用message call或者send函数发送以太币给合约的时候&＃xff0c;没有指明调用合约的某个方法&＃xff0c;这种情况下就会调用合约的fallback函数。

0x01 攻击事件还原

我们先用简单的模拟代码来了解下整个攻击过程。

首先是存在漏洞的智能合约代码&＃xff0c;Bank&＃xff1a;

用户可以通过addToBalance方法存入一定量的以太币到这个智能合约&＃xff0c;通过withdrawBalance方法可以提现以太坊&＃xff0c;通过getUserBalance可以获取到账户余额。

注意到这里是通过message call的方式来发送以太币&＃xff0c;所以在调用sender的fallback函数的时候我们就会有充足的gas来进行循环调用。如果是send的方式&＃xff0c;gas只有2300&＃xff0c;稍微一操作就会耗尽gas抛出异常&＃xff0c;是不够用来进行嵌套调用的。以下是不同操作所需要的gas数量&＃xff1a;

出问题的是withdrawBalance方法&＃xff0c;特别是在修改保存在区块链的balances的代码是放在了发送以太币之后。 攻击代码如下&＃xff1a;

这里的deposit函数是往Bank合约中发送10wei。withdraw是通过调用Bank合约的withdrawBalance函数把以太币提取出来。注意看这里的fallback函数&＃xff0c;这里循环调用了两次Bank合约的withdrawBalance方法。

攻击的过程如下&＃xff1a;

&＃xff08;1&＃xff09;假设Bank合约中有100wei&＃xff0c;攻击者Attack合约中有10wei
&＃xff08;2&＃xff09;Attack合约先调用deposit方法向Bank合约发送10wei
&＃xff08;3&＃xff09;之后Attack合约调用withdraw方法&＃xff0c;从而调用了Bank的withdrawBalance方法。
&＃xff08;4&＃xff09;Bank的withdrawBalance方法发送给了Attack合约10wei
&＃xff08;5&＃xff09;Attack收到10wei之后&＃xff0c;又会触发调用fallback函数
&＃xff08;6&＃xff09;这时&＃xff0c;fallback函数又调用了两次Bank合约的withdrawBalance&＃xff0c;从而转走了20wei
&＃xff08;7&＃xff09;之后Bank合约才修改Attack合约的balance&＃xff0c;将其置为0

通过上面的步骤&＃xff0c;攻击者实际上从Bank合约转走了30wei&＃xff0c;Bank则损失了20wei&＃xff0c;如果攻击者多嵌套调用几次withdrawBalance&＃xff0c;完全可以将Bank合约中的以太币全部转走。

0x02 复现过程

给Bank合约100wei&＃xff0c;给Attack合约10wei。

&＃xff08;1&＃xff09;部署Bank&＃xff0c;分配100wei

&＃xff08;2&＃xff09;部署Attack

分配给Attack 10wei。

&＃xff08;3&＃xff09;调用Attack合约的deposit方法

&＃xff08;4&＃xff09;调用Attack合约的withdraw方法

&＃xff08;5&＃xff09;查看Attack合约的余额&＃xff0c;变成了30wei&＃xff0c;即窃取了20wei

0x03 DAO攻击事件代码分析

在DAO源码中&＃xff0c;有withdrawRewardFor函数&＃xff1a;

function withdrawRewardFor(address _account) noEther internal returns (bool _success) { if ((balanceOf(_account) * rewardAccount.accumulatedInput()) / totalSupply }

这里调用了payOut函数进行付款。

function payOut(address _recipient, uint _amount) returns (bool) { if (msg.sender !&＃61; owner || msg.value > 0 || (payOwnerOnly && _recipient !&＃61; owner)) throw; if (_recipient.call.value(_amount)()) { //vulnerable PayOut(_recipient, _amount); return true; } else { return false;
}

而payOut中直接使用的是message call的方式发送以太币&＃xff0c;从而导致了嵌套漏洞。

0x04 总结

在编写智能合约进行以太币发送的时候&＃xff0c;要使用send或者transfer&＃xff0c;不要使用message call的方式&＃xff0c;而send其实还是有些小问题&＃xff0c;以后有时间再分析。DAO事件直接导致了以太坊硬分叉&＃xff0c;分为ETH和ETC。可见&＃xff0c;区块链领域的安全不容忽视&＃xff0c;因为其修复难度和所造成的影响都很高&＃xff0c;毕竟是和钱打交道。