预防委托调用（DELEGATECALL）引起的合约漏洞

aisiji
更新于 2022-03-03 12:04
阅读 4276

本文通过编写有漏洞的合约，来了解如何攻击并理解如何预防漏洞的发生。

> * 原文：https://betterprogramming.pub/preventing-smart-contract-attacks-on-ethereum-delegatecall-e864d0042188
> * 译文出自：[登链翻译计划](https://github.com/lbc-team/Pioneer)
> * 译者：[aisiji](https://learnblockchain.cn/people/3291)
> * 校对：[Tiny 熊](https://learnblockchain.cn/people/15)
> * 本文永久链接：[learnblockchain.cn/article…](https://learnblockchain.cn/article/3627)

> 本文通过编写有漏洞的合约，来了解如何攻击并理解如何预防漏洞的发生。

![0_CDZgVHvn9FGeuV7M](https://img.learnblockchain.cn/2022/02/28/0_CDZgVHvn9FGeuV7M.jpeg!/scale/70)
图片来源: [Arnold Francisca](https://unsplash.com/@clark_fransa)

与`call`不同，用`DELEGATECALL`进行函数调用时，其代码是在当前调用函数的环境里执行，因此，构建无漏洞自定义库并不像想象的那么简单。有时库代码本身可能是安全无漏洞的；然而当它应用到另一个合约的上下文中却有可能出现漏洞。我们来看一个复杂一点的例子：使用斐波那契数列。

> 备注：斐波那契数列是指从 0 1 开始，之后的数总是之前的和：0, 1, 1, 2, 3, 5, 8, 13 ...

下面是`FibonacciLib.sol`中的一个库，它可以生成斐波那契数列或者类似的数列。

```js
// library contract - calculates Fibonacci-like numbers
contract FibonacciLib {
    // initializing the standard Fibonacci sequence
    uint public start;
    uint public calculatedFibNumber;

// modify the zeroth number in the sequence
    function setStart(uint _start) public {
        start = _start;
    }

function setFibonacci(uint n) public {
        calculatedFibNumber = fibonacci(n);
    }

function fibonacci(uint n) internal returns (uint) {
        if (n == 0) return start;
        else if (n == 1) return start + 1;
        else return fibonacci(n - 1) + fibonacci(n - 2);
    }
}
```

\-FibonacciLib.sol-

这个库提供了一个函数，它将生成数列中第n个斐波那契数。函数允许用户修改数列的起始数字(`start`)并且计算新数列的第n个斐波那契数。

现在看看下面的合约`FibonacciBalance.sol`如何使用这个库。

```js
contract FibonacciBalance {

address public fibonacciLibrary;
    // the current Fibonacci number to withdraw
    uint public calculatedFibNumber;
    // the starting Fibonacci sequence number
    uint public start = 3;
    uint public withdrawalCounter;
    // the Fibonancci function selector
    bytes4 constant fibSig = bytes4(sha3("setFibonacci(uint256)"));

// constructor - loads the contract with ether
    constructor(address _fibonacciLibrary) external payable {
        fibonacciLibrary = _fibonacciLibrary;
    }

function withdraw() {
        withdrawalCounter += 1;
        // calculate the Fibonacci number for the current withdrawal user-
        // this sets calculatedFibNumber
        require(fibonacciLibrary.delegatecall(fibSig, withdrawalCounter));
        msg.sender.transfer(calculatedFibNumber * 1 ether);
    }

// allow users to call Fibonacci library functions
    function() public {
        require(fibonacciLibrary.delegatecall(msg.data));
    }
}
```

\-FbonacciBalance.sol-

## 利用漏洞攻击

上面的合约允许参与者从合约提取以太币，取款数量等于参与者取款顺序对应的斐波那契数；也就是说：第一个取款的参与者可以得到1个以太币，第二个也可以得到1个，第三个可以得到2个，第四个可以得到3个，第五个可以得到5个，以此类推，直到合约余额比取款的斐波那契数小。

你可能已经注意到了，在库和主调合约中都使用了状态变量`start`。在库合约中，`start`被用于指定斐波那契数列的起始数字并被设置为`0`，而在主调合约中它被设置为`3`。你可能也注意到了，`FibonacciBalance`合约中的fallback函数会把所有调用委托传递给库合约，这让库合约的`setStart`函数也可以被调用。回想一下，我们保留了合约的状态，所以实际上允许在本地`FibonnacciBalance`合约中修改`start`变量的状态。如果这样的话，`start`被修改为更大的值就可以提取更多的以太币，因为`calculatedFibNumber`依赖于`start`变量(如库合约所示)。事实上，在`FibonacciBalance`合约中，`setStart`函数不会(也不能)修改`start`变量。这个合约的潜在漏洞比仅仅修改`start`变量要糟糕的多，请继续往下看。

请注意，在第21行，`withdraw`函数已经执行了`fibonacciLibrary.delegatecall(fibSig,withdrawalCounter)`。调用了`setFibonacci`函数，修改了存储`slot[1]`，当前是`calculatedFibNumber`(即，在执行后，`calculatedFibNumber`已经被修改了)。但是注意，`FibonacciLib`合约的`start`变量存储在`slot[0]`，其实是当前合约的`fibonacciLibrary`地址。这意味着`fibonacci`函数将返回一个非预期的结果，因为它引用了`start`(即`slot[0]`),当前是`fibonacciLibrary`地址(它被解释为`uint`时，会非常大)。因此，`withdraw`函数会返回，因为合约余额不足`uint(fibonacciLibrary)` 因为`calculatedFibNumber`会返回的非常大的值。

更糟糕的是，`FibonacciBalance`合约让用户通过26行的fallback函数调用所有`fibonacciLibrary`函数，包括`setStart`函数，而这个函数允许任何人修改或者设置存储`slot[0]`。这时，`slot[0]`是`fibonacciLibrary`地址。因此，攻击者可以创建一个恶意合约，修改这个地址为`uint`(这可以在Python中用`int('<address>',16)`轻松完成)，然后调用`setStart(<attack_contract_address_as_uint>)`。将`fibonacciLibrary`地址改为攻击合约的地址。之后，任何时候，当用户调用`withdraw`或者fallback函数时，恶意合约就会执行，并盗取合约的全部余额。

下面是一个攻击合约的例子：

```
contract Attack {
    uint storageSlot0; // corresponds to fibonacciLibrary
    uint storageSlot1; // corresponds to calculatedFibNumber

// fallback - this will run if a specified function is not found
    function() public {
        storageSlot1 = 0; // we set calculatedFibNumber to 0, so if withdraw
        // is called we don't send out any ether
        <attacker_address>.transfer(this.balance); // we take all the ether
    }
 }
```

\-Attack.sol-

## 如何避免

Solidity提供了一个`library`关键字，用于实现库合约。这就确保了库合约是无状态且不可自毁的。

## 一个真实的攻击实例：Parity Multisig Wallet (第二次攻击)

库合约:

```js
contract WalletLibrary is WalletEvents {

...

// throw unless the contract is not yet initialized.
  modifier only_uninitialized { if (m_numOwners > 0) throw; _; }

// constructor - just pass on the owner array to multiowned and
  // the limit to daylimit
  function initWallet(address[] _owners, uint _required, uint _daylimit)
      only_uninitialized {
    initDaylimit(_daylimit);
    initMultiowned(_owners, _required);
  }

// kills the contract sending everything to `_to`.
  function kill(address _to) onlymanyowners(sha3(msg.data)) external {
    suicide(_to);
  }

...

}
```

\-WalletLibrary.sol-

钱包合约:

```js
contract Wallet is WalletEvents {

...

// METHODS

// gets called when no other function matches
  function() payable {
    // just being sent some cash?
    if (msg.value > 0)
      Deposit(msg.sender, msg.value);
    else if (msg.data.length > 0)
      _walletLibrary.delegatecall(msg.data);
  }

...

// FIELDS
  address constant _walletLibrary =
    0xcafecafecafecafecafecafecafecafecafecafe;
}
```

\-Wallet.sol-

请注意，`Wallet`合约通过一个委托调用将所有调用传递给`WalletLibrary` 合约。代码中的`_walletLibrary`常量地址作为实际部署`WalletLibrary`合约的一个占位符(实际在`0x863DF6BFa4469f3ead0bE8f9F2AAE51c91A907b4`)。

原文：https://betterprogramming.pub/preventing-smart-contract-attacks-on-ethereum-delegatecall-e864d0042188

译文出自：登链翻译计划

译者：aisiji

校对：Tiny 熊

本文永久链接：learnblockchain.cn/article…

本文通过编写有漏洞的合约，来了解如何攻击并理解如何预防漏洞的发生。

图片来源: Arnold Francisca

与call不同，用DELEGATECALL进行函数调用时，其代码是在当前调用函数的环境里执行，因此，构建无漏洞自定义库并不像想象的那么简单。有时库代码本身可能是安全无漏洞的；然而当它应用到另一个合约的上下文中却有可能出现漏洞。我们来看一个复杂一点的例子：使用斐波那契数列。

备注：斐波那契数列是指从 0 1 开始，之后的数总是之前的和：0, 1, 1, 2, 3, 5, 8, 13 ...

下面是FibonacciLib.sol中的一个库，它可以生成斐波那契数列或者类似的数列。

// library contract - calculates Fibonacci-like numbers
contract FibonacciLib {
    // initializing the standard Fibonacci sequence
    uint public start;
    uint public calculatedFibNumber;

    // modify the zeroth number in the sequence
    function setStart(uint _start) public {
        start = _start;
    }

    function setFibonacci(uint n) public {
        calculatedFibNumber = fibonacci(n);
    }

    function fibonacci(uint n) internal returns (uint) {
        if (n == 0) return start;
        else if (n == 1) return start + 1;
        else return fibonacci(n - 1) + fibonacci(n - 2);
    }
}

-FibonacciLib.sol-

这个库提供了一个函数，它将生成数列中第n个斐波那契数。函数允许用户修改数列的起始数字(start)并且计算新数列的第n个斐波那契数。

现在看看下面的合约FibonacciBalance.sol如何使用这个库。

contract FibonacciBalance {

    address public fibonacciLibrary;
    // the current Fibonacci number to withdraw
    uint public calculatedFibNumber;
    // the starting Fibonacci sequence number
    uint public start = 3;
    uint public withdrawalCounter;
    // the Fibonancci function selector
    bytes4 constant fibSig = bytes4(sha3("setFibonacci(uint256)"));

    // constructor - loads the contract with ether
    constructor(address _fibonacciLibrary) external payable {
        fibonacciLibrary = _fibonacciLibrary;
    }

    function withdraw() {
        withdrawalCounter += 1;
        // calculate the Fibonacci number for the current withdrawal user-
        // this sets calculatedFibNumber
        require(fibonacciLibrary.delegatecall(fibSig, withdrawalCounter));
        msg.sender.transfer(calculatedFibNumber * 1 ether);
    }

    // allow users to call Fibonacci library functions
    function() public {
        require(fibonacciLibrary.delegatecall(msg.data));
    }
}

-FbonacciBalance.sol-

利用漏洞攻击

你可能已经注意到了，在库和主调合约中都使用了状态变量start。在库合约中，start被用于指定斐波那契数列的起始数字并被设置为0，而在主调合约中它被设置为3。你可能也注意到了，FibonacciBalance合约中的fallback函数会把所有调用委托传递给库合约，这让库合约的setStart函数也可以被调用。回想一下，我们保留了合约的状态，所以实际上允许在本地FibonnacciBalance合约中修改start变量的状态。如果这样的话，start被修改为更大的值就可以提取更多的以太币，因为calculatedFibNumber依赖于start变量(如库合约所示)。事实上，在FibonacciBalance合约中，setStart函数不会(也不能)修改start变量。这个合约的潜在漏洞比仅仅修改start变量要糟糕的多，请继续往下看。

请注意，在第21行，withdraw函数已经执行了fibonacciLibrary.delegatecall(fibSig,withdrawalCounter)。调用了setFibonacci函数，修改了存储slot[1]，当前是calculatedFibNumber(即，在执行后，calculatedFibNumber已经被修改了)。但是注意，FibonacciLib合约的start变量存储在slot[0]，其实是当前合约的fibonacciLibrary地址。这意味着fibonacci函数将返回一个非预期的结果，因为它引用了start(即slot[0]),当前是fibonacciLibrary地址(它被解释为uint时，会非常大)。因此，withdraw函数会返回，因为合约余额不足uint(fibonacciLibrary) 因为calculatedFibNumber会返回的非常大的值。

更糟糕的是，FibonacciBalance合约让用户通过26行的fallback函数调用所有fibonacciLibrary函数，包括setStart函数，而这个函数允许任何人修改或者设置存储slot[0]。这时，slot[0]是fibonacciLibrary地址。因此，攻击者可以创建一个恶意合约，修改这个地址为uint(这可以在Python中用int('<address>',16)轻松完成)，然后调用setStart(<attack_contract_address_as_uint>)。将fibonacciLibrary地址改为攻击合约的地址。之后，任何时候，当用户调用withdraw或者fallback函数时，恶意合约就会执行，并盗取合约的全部余额。

下面是一个攻击合约的例子：

contract Attack {
    uint storageSlot0; // corresponds to fibonacciLibrary
    uint storageSlot1; // corresponds to calculatedFibNumber

    // fallback - this will run if a specified function is not found
    function() public {
        storageSlot1 = 0; // we set calculatedFibNumber to 0, so if withdraw
        // is called we don't send out any ether
        &lt;attacker_address>.transfer(this.balance); // we take all the ether
    }
 }

-Attack.sol-

如何避免

Solidity提供了一个library关键字，用于实现库合约。这就确保了库合约是无状态且不可自毁的。

一个真实的攻击实例：Parity Multisig Wallet (第二次攻击)

库合约:

contract WalletLibrary is WalletEvents {

  ...

  // throw unless the contract is not yet initialized.
  modifier only_uninitialized { if (m_numOwners > 0) throw; _; }

  // constructor - just pass on the owner array to multiowned and
  // the limit to daylimit
  function initWallet(address[] _owners, uint _required, uint _daylimit)
      only_uninitialized {
    initDaylimit(_daylimit);
    initMultiowned(_owners, _required);
  }

  // kills the contract sending everything to `_to`.
  function kill(address _to) onlymanyowners(sha3(msg.data)) external {
    suicide(_to);
  }

  ...

}

-WalletLibrary.sol-

钱包合约:

contract Wallet is WalletEvents {

  ...

  // METHODS

  // gets called when no other function matches
  function() payable {
    // just being sent some cash?
    if (msg.value > 0)
      Deposit(msg.sender, msg.value);
    else if (msg.data.length > 0)
      _walletLibrary.delegatecall(msg.data);
  }

  ...

  // FIELDS
  address constant _walletLibrary =
    0xcafecafecafecafecafecafecafecafecafecafe;
}

-Wallet.sol-

请注意，Wallet合约通过一个委托调用将所有调用传递给WalletLibrary 合约。代码中的_walletLibrary常量地址作为实际部署WalletLibrary合约的一个占位符(实际在0x863DF6BFa4469f3ead0bE8f9F2AAE51c91A907b4)。

学分: 2
分类: 安全
标签: delegatecall 智能合约安全

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。

预防委托调用（DELEGATECALL）引起的合约漏洞

利用漏洞攻击

如何避免

一个真实的攻击实例：Parity Multisig Wallet (第二次攻击)

0 条评论

文章目录