美鏈BEC合約漏洞技術(shù)分析

這兩天幣圈鏈圈被美鏈BEC智能合約的漏洞導(dǎo)致代幣價(jià)值幾乎歸零的事件刷遍朋友圈演熟。這篇文章就來(lái)分析下BEC智能合約的漏洞谭网。

漏洞攻擊交易

我們先來(lái)還原下攻擊交易裕坊,這個(gè)交易可以在這個(gè)鏈接查詢到滋饲。
我截圖給大家看一下:

攻擊者向兩個(gè)賬號(hào)轉(zhuǎn)移57896044618…000.792003956564819968個(gè)BEC桶现,相當(dāng)于BEC憑空進(jìn)行了一個(gè)巨大的增發(fā)躲雅,幾乎導(dǎo)致BEC價(jià)格瞬間歸零。
下面我們來(lái)分析下這個(gè)攻擊過(guò)程骡和。

合約漏洞分析

我們先來(lái)看看BEC智能合約的代碼相赁,
BEC在合約中加入一個(gè)批量轉(zhuǎn)賬的函數(shù),它的實(shí)現(xiàn)如下:

function batchTransfer(address[] _receivers, uint256 _value) public whenNotPaused returns (bool) {
    uint cnt = _receivers.length;
    uint256 amount = uint256(cnt) * _value;
    require(cnt > 0 && cnt <= 20);
    require(_value > 0 && balances[msg.sender] >= amount);

    balances[msg.sender] = balances[msg.sender].sub(amount);
    for (uint i = 0; i < cnt; i++) {
        balances[_receivers[i]] = balances[_receivers[i]].add(_value);
        Transfer(msg.sender, _receivers[i], _value);
    }
    return true;

這個(gè)函數(shù)的作用是慰于,調(diào)用者傳入若干個(gè)地址和轉(zhuǎn)賬金額钮科,在經(jīng)過(guò)一些條件檢查之后,對(duì)msg.sender的余額進(jìn)行減操作婆赠,對(duì)每一個(gè)傳入的地址進(jìn)行加操作绵脯,以實(shí)現(xiàn)BEC的轉(zhuǎn)移。
問(wèn)題出在 uint256 amount = uint256(cnt) * _value; 這句代碼,當(dāng)傳入值_value過(guò)大時(shí)(接近uint256的取值范圍的最大值)蛆挫,uint256 amount = uint256(cnt) * _value計(jì)算時(shí)會(huì)發(fā)生溢出赃承,導(dǎo)致amount實(shí)際的值是一個(gè)非常小的數(shù)(此時(shí)amount不再是cnt * _value的實(shí)際值),amount很小悴侵,也使得后面對(duì)調(diào)用者余額校驗(yàn)可正常通過(guò)(即require(_value > 0 && balances[msg.sender] >= amount)語(yǔ)句通過(guò))瞧剖。

我們來(lái)結(jié)合實(shí)際攻擊交易使用的參數(shù)來(lái)分析一下:

batchTransfer的參數(shù)_value值為16進(jìn)制的800000000000000000000...,參數(shù)_receivers數(shù)組的大小為2可免,相乘之后剛好可超過(guò)uint256所能表示的整數(shù)大小上限抓于,引發(fā)溢出問(wèn)題amount實(shí)際的值為0,后面的轉(zhuǎn)賬操作實(shí)際上msg.sender的余額減0巴元, 而對(duì)兩個(gè)賬號(hào)進(jìn)行了加16進(jìn)制的800000000000000000000...毡咏,最終的結(jié)果是相當(dāng)于增發(fā)了2 * 16進(jìn)制的800000000000000000000...驮宴。

實(shí)際上對(duì)于這種整數(shù)溢出漏洞逮刨,最簡(jiǎn)單的方法是采用 SafeMath 數(shù)學(xué)計(jì)算庫(kù)來(lái)避免。有趣的是BEC智能合約代碼中堵泽,其實(shí)其他的都使用了SafeMath修己, 而關(guān)鍵的uint256 amount = uint256(cnt) * _value卻沒(méi)有使用。

心痛程序員迎罗,也心痛韭菜睬愤。這句代碼改為uint256 amount = _value.mul(uint256(cnt));就可以防止溢出問(wèn)題。

所以在做加減乘除的時(shí)候請(qǐng)記得一定使用:SafeMath纹安,代碼在這里

原文:美鏈BEC合約漏洞技術(shù)分析
作者:Tiny熊

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末尤辱,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子厢岂,更是在濱河造成了極大的恐慌光督,老刑警劉巖,帶你破解...
    沈念sama閱讀 219,039評(píng)論 6 508
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件塔粒,死亡現(xiàn)場(chǎng)離奇詭異结借,居然都是意外死亡,警方通過(guò)查閱死者的電腦和手機(jī)卒茬,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 93,426評(píng)論 3 395
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門船老,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人圃酵,你說(shuō)我怎么就攤上這事柳畔。” “怎么了郭赐?”我有些...
    開封第一講書人閱讀 165,417評(píng)論 0 356
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵荸镊,是天一觀的道長(zhǎng)。 經(jīng)常有香客問(wèn)我,道長(zhǎng)躬存,這世上最難降的妖魔是什么张惹? 我笑而不...
    開封第一講書人閱讀 58,868評(píng)論 1 295
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮岭洲,結(jié)果婚禮上宛逗,老公的妹妹穿的比我還像新娘。我一直安慰自己盾剩,他們只是感情好雷激,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,892評(píng)論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著告私,像睡著了一般屎暇。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上驻粟,一...
    開封第一講書人閱讀 51,692評(píng)論 1 305
  • 城市分裂傳說(shuō)
    那天根悼,我揣著相機(jī)與錄音,去河邊找鬼蜀撑。 笑死挤巡,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的酷麦。 我是一名探鬼主播矿卑,決...
    沈念sama閱讀 40,416評(píng)論 3 419
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼沃饶!你這毒婦竟也來(lái)了母廷?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 39,326評(píng)論 0 276
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤糊肤,失蹤者是張志新(化名)和其女友劉穎琴昆,沒(méi)想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體轩褐,經(jīng)...
    沈念sama閱讀 45,782評(píng)論 1 316
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡椎咧,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,957評(píng)論 3 337
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了把介。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片勤讽。...
    茶點(diǎn)故事閱讀 40,102評(píng)論 1 350
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖拗踢,靈堂內(nèi)的尸體忽然破棺而出脚牍,到底是詐尸還是另有隱情,我是刑警寧澤巢墅,帶...
    沈念sama閱讀 35,790評(píng)論 5 346
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布诸狭,位于F島的核電站券膀,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏驯遇。R本人自食惡果不足惜芹彬,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,442評(píng)論 3 331
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望叉庐。 院中可真熱鬧舒帮,春花似錦、人聲如沸陡叠。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,996評(píng)論 0 22
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)枉阵。三九已至译红,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間兴溜,已是汗流浹背侦厚。 一陣腳步聲響...
    開封第一講書人閱讀 33,113評(píng)論 1 272
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留昵慌,地道東北人假夺。 一個(gè)月前我還...
    沈念sama閱讀 48,332評(píng)論 3 373
  • 代替公主和親
    正文 我出身青樓淮蜈,卻偏偏與公主長(zhǎng)得像斋攀,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子梧田,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,044評(píng)論 2 355

推薦閱讀更多精彩內(nèi)容