短地址攻击
简介
短地址攻击是一种漏洞,可能发生在用 Solidity 编写的智能合约中,Solidity 是用于在以太坊平台上编写合约的编程语言。当合约使用短地址或少于 20 字节的地址作为输入或输出值时,EVM 会将 0 填到编码参数的末尾以补成预期的长度。就会出现此漏洞。
当第三方应用程序不验证输入时,这会成为问题。最明显的例子是当用户请求提款时,交易所不验证 ERC20 Token 的地址。
例子
考虑一下标准的 ERC20 传输函数接口,注意参数的顺序,
1 | function transfer(address to, uint tokens) public returns (bool success); |
现在考虑一下,一个交易所持有大量代(比方说 REP ),并且,某用户希望取回他们存储的100个代币。用户将提交他们的地址, 0xdeaddeaddeaddeaddeaddeaddeaddeaddeaddead 以及代币的数量 100 。交易所将根据 transfer() 函数指定的顺序对这些参数进行编码,即先是 address 然后是 tokens 。编码结果将是
1 | a9059cbb000000000000000000000000deaddeaddeaddeaddeaddeaddeaddeaddeaddead0000000000000000000000000000000000000000000000056bc75e2d63100000 |
提取出函数签名,剩余位数要以32字节分隔开:
a9059cbb
000000000000000000000000deaddeaddeaddeaddeaddeaddeaddeaddeaddead
0000000000000000000000000000000000000000000000056bc75e2d63100000
前四个字节(a9059cbb)是 transfer() 函数签名/选择器;
第二个 32 字节是地址;
最后 32 个字节是表示代币数量的 uint256 。请注意,最后的十六进制数 56bc75e2d63100000 对应于 100 个代币(包含 18 个小数位,这是由 REP 代币合约指定的)。
好的,现在让我们看看如果我们发送一个丢失2个十六进制数的地址会发生什么。具体而言,假设攻击者以 0xdeaddeaddeaddeaddeaddeaddeaddeaddeadde 作为地址发送(缺少最后两位数字),并取回相同的 100 个代币。如果交易所没有验证这个输入,它将被编码为
1 | a9059cbb000000000000000000000000deaddeaddeaddeaddeaddeaddeaddeaddeadde0000000000000000000000000000000000000000000000056bc75e2d6310000000 |
提取出函数签名,剩余位数要以32字节分隔开:
a9059cbb
000000000000000000000000deaddeaddeaddeaddeaddeaddeaddeaddeadde00
00000000000000000000000000000000000000000000056bc75e2d6310000000
差别是微妙的。请注意, 00 已被填充到编码的末尾,以补完发送的短地址。当它被发送到智能合约时, address 参数将被读为 0xdeaddeaddeaddeaddeaddeaddeaddeaddeadde00 并且值将被读为 56bc75e2d6310000000 (注意两个额外的 0)。此值现在是 25600 个代币(值已被乘以 256 )。在这个例子中,如果交易所持有这么多的代币,用户会取出 25600 个代币(而交换所认为用户只是取出 100)到修改后的地址。很显然,在这个例子中攻击者不会拥有修改后的地址,但是如果攻击者产生了以 0 结尾的地址(很容易强制产生)并且使用了这个生成的地址,他们很容易从毫无防备的交易所中窃取令牌。
预防手段
- 我想很明显,在将所有输入发送到区块链之前对其进行验证可以防止这些类型的攻击。还应该指出的是参数排序在这里起着重要的作用。由于填充只发生在字符串末尾,智能合约中参数的缜密排序可能会缓解此攻击的某些形式。
- 参数不要使用address,而是使用bytes20
- 使用方法isContract()验证参数是一个合约