以太坊智能合约重放攻击细节剖析

时间 2019-11-11

标签以太智能合约重放攻击细节剖析栏目系统网络繁體版

原文原文链接

1 攻击背景

在资产管理体系中，常有委托管理的状况，委托人将资产给受托人管理，委托人支付必定的费用给受托人。这个业务场景在智能合约中也比较广泛。git

合约设计github

function transferProxy(address _from, address _to, uint256 _value, uint256 _fee, uint8 _v, bytes32 _r, bytes32 _s)web

transferProxy 方法涉及的角色：算法

角色1: 须要转 Token，但本身钱包地址里没有 ETH 的人，即合约中的 _from安全
角色2: 帮助角色1来转 Token，并支付 ETH 的 gas 费用，即合约中的 msg.sender，也是调用这个合约的人函数
角色3: Token 接收方，即合约中的 _to工具

transferProxy 方法的目的：区块链

角色1想要转 Token 给角色3，但本身又没有 ETH 来支付手续费，因而角色1找到有 ETH 的角色2说：我给你一些 Token 当作手续费，你来经过调用 transferProxy 来把个人 Token 转给角色3，由于你有 ETH。ui

合约实现this

function transferProxy(address _from, address _to, uint256 _value, uint256 _fee,
    uint8 _v, bytes32 _r, bytes32 _s) public returns (bool){

    if(balances[_from] < _fee + _value 
        || _fee > _fee + _value) revert();

    uint256 nonce = nonces[_from];
    bytes32 h = keccak256(_from,_to,_value,_fee,nonce,address(this));
    if(_from != ecrecover(h,_v,_r,_s)) revert();

    if(balances[_to] + _value < balances[_to]
        || balances[msg.sender] + _fee < balances[msg.sender]) revert();
    balances[_to] += _value;
    emit Transfer(_from, _to, _value);

    balances[msg.sender] += _fee;
    emit Transfer(_from, msg.sender, _fee);

    balances[_from] -= _value + _fee;
    nonces[_from] = nonce + 1;
    return true;
}

函数中关键的点是keccak256和ecrecover，即椭圆曲线加密数字签名(ECDSA)函数和验签函数，keccak256等同于sha3。

以下是签名、验签过程：

角色1(_from)先用sha3函数对 _from,_to,_value,_fee,nonce,address(token)进行处理获得msg值，而后使用web3.eth.sign(address, msg)获得签名signature；
将signature取前 0~66 个字节做为 r， 66~130 之间的字节做为 s，130~132 的字节做为 v，而后把 v 转为整型，角色1把这些信息告知角色2，角色2调用合约的transferProxy进行转帐；
合约内ecrecover接收签名数据的哈希值以及 r/s/v 等参数做为输入，返回实施该签名的帐户地址；

let msg = web3.sha3(_from,_to,_value,_fee,nonce,address(token))
let signature = web3.eth.sign(_from, msg)

let r = signature.slice(0, 66)
let s = '0x' + signature.slice(66, 130)
let v = '0x' + signature.slice(130, 132)
v = web3.toDecimal(v)

console.log('r', r)
console.log('s', s)
console.log('v', v)
console.log(msg)

备注

角色一、角色2须要事先沟通好nonce、_fee，其中nonce在合约中定义，从 0 开始自增，可调用合约的getNonce(address _addr)函数查询。

2 攻击过程

因为合约全部的调用数据（函数参数）都在链上公开可查，因此可从 Transaction 中提取全部签名信息。

流程图

在智能合约重放攻击中，基于椭圆曲线加密数字签名(ECDSA)和验签的逻辑，可利用不一样合约中相同的transferProxy实现，把 A 合约 Transaction 中的签名信息提取出来，在 B 合约中进行重放，因为涉及签名的全部参数都是同样的，因此能够直接调用 B 合约并广播到链上。

3 漏洞影响

根据议题《Your May Have Paid More than You Imagine：Replay Attacks on Ethereum Smart Contracts》中披露的数据，截止 4 月 27 日统计约有 52 个合约受到重放攻击的影响，其中 10 个高危、37 个中危、5 个低危。

从攻击目标角度分析，有 5 个合约由于没有 nonce 的设计，可在自身合约内进行重放攻击；另外 45 个合约可跨合约进行重放攻击。

4 预防建议

nonce 生成算法不采用从 0 开始自增的设计，避免和场景的作法相同；

去除 transferProxy 函数，改为其余方式实现代理的需求；

在keccak256函数中增长 address(this) 做为参数；

慢雾安全团队合约审计项已加入该类型问题的审计。

5 参考资料

演讲者 PDF：https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/Bai%20Zheng%20and%20Chai%20Wang/DEFCON-26-Bai-Zheng-Chai-Wang-You-May-Have-Paid-more-than-You-Imagine.pdf

演讲者开放文档：https://github.com/nkbai/defcon26/blob/master/docs/Replay%20Attacks%20on%20Ethereum%20Smart%20Contracts.md

演讲者开放工具：https://github.com/nkbai/defcon26/tree/master/erc20finder

演讲者开放工具：https://github.com/nkbai/defcon26/tree/master/proxytoken

内容来源：慢雾科技

原文做者：慢雾安全团队

本文来自 360 独角兽安全团队(UnicornTeam)的 Zhenzuan Bai, Yuwei Zheng 等在Defcon 26 全球黑客大会分享的议题《Your May Have Paid More than You Imagine：Replay Attacks on Ethereum Smart Contracts》

Blockathon|48小时极客竞赛，区块链马拉松等你挑战（成都）

时间：2018年9月14-16日

地点：成都高新区天府五街200号菁蓉国际广场2号楼A座12楼中韩互联网＋新技术孵化器

招募50名开发者（识别下图二维码或点击“阅读原文”便可报名）
报名费100元为参赛押金，参赛者我的缘由不能到场参加活动概不退款；参赛者全程参与活动，待活动结束后现场退还。9月14日18:00开始第一次签到，9月15日和16日天天早上都要记得签到哦。
主办方免费提供2天的食物、饮料，并为每一位参会者准备一件文化衫