如果你在數(shù)字貨幣世界待過足夠時(shí)間，也許你聽說過1或2個(gè)智能合約攻擊時(shí)間，這些攻擊導(dǎo)致了幾千萬美元的盜竊損失。最著名的攻擊是DAO事件，這是數(shù)字貨幣世界最受期待的項(xiàng)目之一，同時(shí)也是智能合約的改革。雖然很多人聽說過這些攻擊，但是很少人知道到底發(fā)生了什么，是怎么發(fā)生的，以及如何避免這些錯誤。

智能合約是動態(tài)的，復(fù)雜的以及難以置信地強(qiáng)大。雖然他們的潛力是很難想象，但是也不可能一夜之間就成為了攻擊的對象。也就是說，對于往后的數(shù)字貨幣，我們可以從之前的錯誤中學(xué)到經(jīng)驗(yàn)，然后一起成長。雖然DAO是已經(jīng)發(fā)生的事情，但是這對于開發(fā)者，投資者，以及社區(qū)成員對于智能合約攻擊來說，都是一個(gè)很好的例子。

今天，我想和大家聊聊從DAO事件中，我們學(xué)到的3件事。

攻擊＃1：重入攻擊

當(dāng)攻擊者通過對目標(biāo)調(diào)用提款操作的時(shí)候，重入攻擊就會發(fā)生，就好像DAO事件一樣。當(dāng)合約不能在發(fā)出資金之前更新狀態(tài)（用戶余額），攻擊者就可以連續(xù)進(jìn)行提取函數(shù)調(diào)用，來獲得合約中的資金。任何時(shí)候攻擊者獲得以太幣，他的合約都會自動地調(diào)用反饋函數(shù)，function （），這就再次調(diào)用了提現(xiàn)合約。這時(shí)候，攻擊就會進(jìn)入遞歸回路，這時(shí)候這個(gè)合約中的資金就會轉(zhuǎn)入攻擊者。因?yàn)槟繕?biāo)合約都在不停地調(diào)用攻擊者的函數(shù)，這個(gè)合約也不會更新攻擊者的余額。當(dāng)前的合約不會發(fā)現(xiàn)有任何問題，更清楚地說，合約函數(shù)中包含反饋函數(shù)，當(dāng)合約收到以太幣和零數(shù)據(jù)的時(shí)候，合約函數(shù)就會自動執(zhí)行。

攻擊流程

1．攻擊者將以太幣存入目標(biāo)函數(shù)

2．目標(biāo)函數(shù)就會根據(jù)存入的以太幣而更新攻擊者的約

3．攻擊者請求拿回資金

4．資金就會退回

5．攻擊者的反饋函數(shù)生效，然后調(diào)用提現(xiàn)功能

6．智能合約的邏輯就會更新攻擊者的余額，因?yàn)樘岈F(xiàn)又被成功調(diào)用

7．資金發(fā)送到攻擊者

8．第5－7步重復(fù)使用

9．一旦攻擊結(jié)束，攻擊者就會把資金從他們自己的合約發(fā)送到個(gè)人地址

1＊UeDgMZo2n0skHzgkl352zQ

重入攻擊的遞歸回路

很不幸地是，一旦這個(gè)攻擊開始，無法停下。攻擊者的提現(xiàn)功能會被一次次地調(diào)用，直到合約中的燃料跑完，或者被害者的以太幣余額被消耗光。

代碼

下面就是DAO合約的簡單版本，其中會包括一些介紹來為這些不熟悉代碼／ solidity語言更好地理解合約。

contract babyDAO ｛

／＊ assign key／value pair so we can look up

credit integers with an ETH address ＊／

mapping （address ＝＞ uint256） public credit；

／＊ a funcTIon for funds to be added to the contract，

sender will be credited amount sent ＊／

funcTIon donate（address to） payable ｛

credit［msg．sender］ ＋＝ msg．value；

｝

／＊show ether credited to address＊／

funcTIon assignedCredit（address） returns （uint） ｛

return credit［msg．sender］；

｝

／＊withdrawal ether from contract＊／

funcTIon withdraw（uint amount） ｛

if （credit［msg．sender］ ＞＝ amount） ｛

msg．sender．call．value（amount）（）；

credit［msg．sender］ －＝ amount；

｝

｝

｝

如果我們看下函數(shù)withdraw（），我們可以看到DAO合約使用address．call．value（）來發(fā)送資金到msg．sender。不僅如此，在資金發(fā)出后，合約會更新credit［msg．sender］的狀態(tài)。攻擊者在發(fā)現(xiàn)了合約代碼中的問題，就能夠使用類似下面的ThisIsAHodlUp ｛｝來將資金轉(zhuǎn)入contract babyDAO｛｝合約。

import ‘browser／babyDAO．sol’；

contract ThisIsAHodlUp ｛

／＊ assign babyDAO contract as ＂dao＂ ＊／

babyDAO public dao ＝ babyDAO（0x2ae．．．）；

address owner；

／＊assign contract creator as owner＊／

constructor（ThisIsAHodlUp） public ｛

owner ＝ msg．sender；

｝

／＊fallback function， withdraws funds from babyDAO＊／

function（） public ｛

dao．withdraw（dao．a(chǎn)ssignedCredit（this））；

｝

／＊send drained funds to attacker’s address＊／

function drainFunds（） payable public｛

owner．transfer（address（this）．balance）；

｝

｝

需要注意地是，這個(gè)后退函數(shù)，function（），會調(diào)用DAO或者babyDAO｛｝的提現(xiàn)函數(shù)，來從合約中盜取資金。從另個(gè)方面來說，當(dāng)攻擊者想要把所有偷竊來的資金賺到他們的地址，drainFunds（）功能會被調(diào)用。

解決方案

現(xiàn)在，我們應(yīng)該清楚重放攻擊會利用兩個(gè)特別的智能合約漏洞。第一個(gè)是當(dāng)合約的狀態(tài)在資金發(fā)出之后，而不是之前進(jìn)行更新。由于在發(fā)出資金前無法更新合約狀態(tài)，函數(shù)就會在中間計(jì)算的時(shí)候被打斷，合約也認(rèn)為資金其實(shí)還沒有發(fā)出。第二個(gè)漏洞就當(dāng)合約錯誤地使用address．call．value（）來發(fā)出資金，而不是address．transfer（） 或者 address．send（）。這兩個(gè)都受限于2300gas，只記錄一個(gè)事件而不是多個(gè)外部調(diào)用。

contract babyDAO｛

．．．．

function withdraw（uint amount） ｛

if （credit［msg．sender］ ＞＝ amount） ｛

credit［msg．sender］ －＝ amount； ／＊ updates balance first ＊／

msg．sender．send（amount）（）； ／＊ send funds properly ＊／

｝

｝

攻擊2：下溢攻擊

雖然DAO合約不會讓受害者掉入下溢攻擊，我們能夠通過現(xiàn)有的babyDAO contract｛｝來更好地理解這些攻擊為什么會發(fā)生。

首先，我們需要理解什么是256單位制。一個(gè)256單位制是由256個(gè)字節(jié)組成。以太坊的虛擬機(jī)是使用256字節(jié)來完成的。因?yàn)橐蕴惶摂M機(jī)受限于256字節(jié)的大小，所以數(shù)字的范圍是0到4，294，967，295 （22？？）。如果我們超過這個(gè)范圍，那么數(shù)字就會重置到范圍的最底部（22？？ ＋ 1 ＝ 0）。如果我們低于這個(gè)范圍，這個(gè)數(shù)字就會重置到這個(gè)范圍的頂端（0–1＝ 22？？）。

當(dāng)我們從零中減去大于零的數(shù)，就會發(fā)生下溢攻擊，導(dǎo)致一個(gè)新的22？？數(shù)集?，F(xiàn)在，如果攻擊者的余額發(fā)生了下溢，那么這部分余額就會更新，從而導(dǎo)致整個(gè)資金被盜。

攻擊流程

攻擊者通過發(fā)出1Wei到目標(biāo)合約，來啟動攻擊。

合約認(rèn)證發(fā)出資金的人

隨后調(diào)用1Wei的提現(xiàn)函數(shù)

合約會從發(fā)送者的賬戶扣除的1Wei，現(xiàn)在賬戶余額又是零

因?yàn)槟繕?biāo)合約將以太幣發(fā)給攻擊者，攻擊者的退回函數(shù)被處罰，所以提現(xiàn)函數(shù)又被調(diào)用。

提現(xiàn)1Wei的事件被記錄

攻擊者合約的余額就會更新兩次，第一次是到零，第二次是到－1。

攻擊者的余額回置到22？？

攻擊者通過提現(xiàn)目標(biāo)合約的所有資金，從而完成整個(gè)攻擊

代碼

／＊donate 1 wei， withdraw 1 wei＊／

function attack（） ｛

dao．donate．value（1）（this）；

dao．withdraw（1）；

｝

／＊fallback function， results in 0–1 ＝ 2＊＊256 ＊／

function（） ｛

if （performAttack） ｛

performAttack ＝ false；

dao．withdraw（1）；

｝

｝

／＊extract balance from smart contract＊／

function getJackpot（） ｛

dao．withdraw（dao．balance）；

owner．send（this．balance）；

｝

｝

解決方案

為了防止受害人陷入下溢攻擊，最好的方法是看更新的狀態(tài)是否在字節(jié)范圍內(nèi)。我們可以添加參數(shù)來檢查我們的代碼，作為最后一層保護(hù)。函數(shù)withdraw（）的首行代碼是為了檢查是否有足夠的資金，第二行是為了檢查超溢，第三個(gè)是檢查下溢。

contract babysDAO｛

．．．．

／＊withdrawal ether from contract＊／

function withdraw（uint amount） ｛

if （credit［msg．sender］ ＞＝ amount

＆＆ credit［msg．sender］ ＋ amount ＞＝ credit［msg．sender］

＆＆ credit［msg．sender］ － amount ＜＝ credit［msg．sender］） ｛

credit［msg．sender］ －＝ amount；

msg．sender．send（amount）（）；

｝

｝

需要注意，就像我們之前討論，我們上面的代碼是在發(fā)出資金之前更新用戶的余額。

攻擊＃3：跨函數(shù)競爭條件

最后要說的，就是跨函數(shù)競爭攻擊。就像在重放攻擊中所說，DAO合約不能正確的更新合約狀態(tài)，并且可以讓資金被盜竊。DAO問題和外部調(diào)用中的部分原因是跨函數(shù)競爭條件攻擊的潛在原因。雖然以太坊中所有的轉(zhuǎn)賬是線性發(fā)生（一個(gè)在另一個(gè)后面）， 外部調(diào)用（另一個(gè)合約或者地址的調(diào)用）如果沒有被合理管理，就會成為災(zāi)難的導(dǎo)火線。在現(xiàn)實(shí)世界中，他們是完全可以避免的。當(dāng)兩個(gè)函數(shù)被調(diào)用并且分享同個(gè)狀態(tài)，跨函數(shù)競爭條件攻擊就會發(fā)生。這個(gè)合約就會想到，現(xiàn)在有兩個(gè)合約狀態(tài)存在，但是現(xiàn)實(shí)是只有一個(gè)真正的合約狀態(tài)存在。我們不能同時(shí)獲得X ＝ 3和X ＝ 4這兩種結(jié)果。 讓我們用一個(gè)例子來說明這個(gè)內(nèi)容。

攻擊和代碼

contract crossFunctionRace｛

mapping （address ＝＞ uint） private userBalances；

／＊ uses userBalances to transfer funds ＊／

function transfer（address to， uint amount） ｛

if （userBalances［msg．sender］ ＞＝ amount） ｛

userBalances［to］ ＋＝ amount；

userBalances［msg．sender］ －＝ amount；

｝

｝

／＊ uses userBalances to withdraw funds ＊／

function withdrawalBalance（） public ｛

uint amountToWithdraw ＝ userBalances［msg．sender］；

require（msg．sender．send（amountToWithdraw）（））；

userBalances［msg．sender］ ＝ 0；

｝

｝

上面的合約有2個(gè)功能 – 一個(gè)是可以轉(zhuǎn)移資金，另一個(gè)是提現(xiàn)資金。我們假設(shè)攻擊者調(diào)用了函數(shù)transfer（），然后同時(shí)使用外部調(diào)用函數(shù)withdrawalBalance（）。userBalance［msg．sender］的狀態(tài)通過2個(gè)不同的方向被抽出。用戶的余額還沒有被設(shè)為0，但是盡管資金已經(jīng)被提取，攻擊者也能夠轉(zhuǎn)移資金。這樣情況下，合約可以讓攻擊者使用雙花，這也是區(qū)塊鏈技術(shù)想要解決的問題之一。

注意：如果有函數(shù)分享狀態(tài)，跨函數(shù)競爭條件攻擊就會在多個(gè)合約中發(fā)生。

－在調(diào)用外部函數(shù)之前，應(yīng)該完成所有的內(nèi)部工作

－避免發(fā)生外部調(diào)用

－在不可避免地時(shí)候，使用外部函數(shù)“不可信”

－在外部調(diào)用不可避免的情況下，使用互斥

根據(jù)下面的合約，我們可以看到一個(gè)例子1） 在完成外部調(diào)用之前，完成內(nèi)部工作。2）將所有外部調(diào)用都設(shè)為“不可信”。我們的合約會讓資金發(fā)送到一個(gè)地址，并且允許用戶一次性將資金存入合同。

contract crossFunctionRace｛

mapping （address ＝＞ uint） private userBalances；

mapping （address ＝＞ uint） private reward；

mapping （address ＝＞ bool） private claimedReward；

／／makes external call， need to mark as untrusted

function untrustedWithdraw（address recipient） public ｛

uint amountWithdraw ＝ userBalances［recipient］；

reward［recipient］ ＝ 0；

require（recipient．call．value（amountWithdraw）（））；

｝

／／untrusted because withdraw is called， an external call

function untrustedGetReward（address recipient） public ｛

／／check that reward hasn’t already been claimed

require（！claimedReward［recipient］）；

／／internal work first （claimedReward and assigning reward）

claimedReward ＝ true；

reward［recipient］ ＋＝ 100；

untrustedWithdraw（recipient）；

｝

｝

我們可以看出，這個(gè)合約的首個(gè)函數(shù)在發(fā)送資金到用戶的合約／地址的時(shí)候，就會發(fā)生外部調(diào)用。同樣地，獎勵函數(shù)在發(fā)送一次性獎勵的時(shí)候，也會使用提現(xiàn)函數(shù)，因?yàn)檫@也是不可信的。同樣重要地是，合約需要執(zhí)行所有內(nèi)部工作。就好像重入攻擊，函數(shù)untrustedGetReward（）會在允許提現(xiàn)之前，讓用戶獲得一次性的獎勵，從而防止跨函數(shù)競爭條件攻擊。

在真實(shí)世界，智能合約不需要依賴于外部調(diào)用。事實(shí)上，外部調(diào)用在很多情況下，在工作環(huán)境中都幾乎不可能發(fā)生的。由于這個(gè)原因，使用互斥體來“鎖定”一些狀態(tài)，并且讓擁有者有能力去改變狀態(tài)，可以幫助防止這類災(zāi)難。雖然互斥體非常有效，但是當(dāng)用于多個(gè)合約的時(shí)候，都會變的很棘手。如果你使用互斥體來防止這類攻擊，你需要很仔細(xì)地確保沒有其他方法來鎖定，或者永遠(yuǎn)不會釋放。如果使用互斥體的方法，在寫入智能合約的時(shí)候，你需要保證你完全理解潛在的危險(xiǎn)。

contract mutexExample｛

mapping （address ＝＞ uint） private balances；

bool private lockBalances；

function deposit（） payable public returns （bool） ｛

／＊check if lockBalances is unlocked before proceeding＊／

require（！lockBalances）；

／＊lock， execute， unlock ＊／

lockBalances ＝ true；

balances［msg．sender］ ＋＝ msg．value；

lockBalances ＝ false；

return true；

｝

function withdraw（uint amount） payable public returns （bool） ｛

／＊check if lockBalances is unlocked before proceeding＊／

require（！lockBalances ＆＆ amount ＞ 0 ＆＆ balances［msg．sender］

＞＝ amount）；

／＊lock， execute， unlock＊／

lockBalances ＝ true；

if （msg．sender．call（amount）（）） ｛

balances［msg．sender］ －＝ amount；

｝

lockBalances ＝ false；

return true；

｝

｝

以上，我們可以看到合約mutexExample（）會有私人鎖定狀態(tài)，來實(shí)行deposit（）函數(shù)功能和withdraw（）函數(shù)。鎖定會防止用戶能夠在所有的初步調(diào)用完成之前，成功完成withdraw（）調(diào)用，可以防止任何種類的跨函數(shù)競爭條件攻擊。

最后的結(jié)果

力量越大，責(zé)任越大。雖然區(qū)塊鏈和智能合約技術(shù)每天都在革新，但是風(fēng)險(xiǎn)依然很高。攻擊者從沒有放棄去尋找機(jī)會來攻擊這些合約。這取決于我們來保證，我們可以從之前項(xiàng)目的問題中學(xué)習(xí)經(jīng)驗(yàn)，來讓我們獲得成長。希望通過這篇文章，以及其他系列文章，你可以更明白智能合約攻擊。