智能合約漏洞與安全審計(jì)手段淺析

0引言中本聰提出比特幣使用的區(qū)塊鏈技術(shù)實(shí)際上是一種特殊的電子賬本，賬本中公開(kāi)記錄著從區(qū)塊鏈建立之初的每一條轉(zhuǎn)帳記錄。這是一種去中心化的賬本，其完全不依賴中心監(jiān)管機(jī)構(gòu)的工作，能夠完全獨(dú)立的完成交易的發(fā)生和確認(rèn)，降低了由于單一節(jié)點(diǎn)風(fēng)險(xiǎn)引起的安全問(wèn)題。事實(shí)上，由于區(qū)塊鏈的用戶、買賣雙方實(shí)際是互相不信任的節(jié)點(diǎn)，交易雙方均不信任對(duì)方能夠單獨(dú)正確記錄交易，則衍生出了基于運(yùn)算能力保證的確認(rèn)機(jī)制，用戶、交易、礦工三者構(gòu)成了基本的加密貨幣交易。加密貨幣本質(zhì)上是區(qū)塊鏈技術(shù)的一個(gè)小的應(yīng)用方面，此外，依托于區(qū)塊鏈中記錄信息的不可更改的特性，我們可以在不依賴第三方公證機(jī)構(gòu)的前提下，永久性記錄用戶雙方發(fā)生的一切交易、操作、合同等權(quán)威性文件、信息。而傳統(tǒng)的公證技術(shù)往往依賴第三方權(quán)威機(jī)構(gòu)的參與，其中第三方機(jī)構(gòu)公信力決定了公正文件的可信度。而基于區(qū)塊鏈智能合約的新一代合同、能夠擺脫對(duì)第三方機(jī)構(gòu)權(quán)威的依賴，在增強(qiáng)合約、信息可信度的同時(shí)，能夠減少實(shí)際公證過(guò)程的人力物力財(cái)力的消耗。以太坊提供給開(kāi)發(fā)者和用戶一套能夠構(gòu)建去中心化應(yīng)用的完整技術(shù)平臺(tái)。比特幣提供了完整的端到端加密交易系統(tǒng)，使用者能夠使用其完成完整的交易。以太坊相較于比特幣來(lái)說(shuō)，除了提供傳統(tǒng)的類似于比特幣的交易記錄能力——以太幣外，同時(shí)能夠用于創(chuàng)建去中心化的程序、自治組織和智能合約。至今，以太坊已經(jīng)在金融、物聯(lián)網(wǎng)、智能電網(wǎng)、游戲開(kāi)發(fā)、智能合同等多領(lǐng)域被廣泛應(yīng)用。智能合約是以太坊應(yīng)用平臺(tái)的核心，本質(zhì)上是以公開(kāi)的形式隨著區(qū)塊鏈一同部署在應(yīng)用網(wǎng)絡(luò)之中的一段程序代碼。能夠根據(jù)設(shè)定的規(guī)則，完成決策、資料儲(chǔ)存以及以太幣的傳輸。智能合約提供驗(yàn)證及執(zhí)行智能合約本身所設(shè)定的條件，對(duì)整個(gè)網(wǎng)絡(luò)的公開(kāi)性與透明性，允許在沒(méi)有第三方的情況下完成可信交易，同時(shí)這些交易具有高度的匿名性。盡管智能合約設(shè)計(jì)本身目的在于減少可能存在的風(fēng)險(xiǎn)問(wèn)題。但是，類似于以太坊的智能合約仍存在設(shè)計(jì)上的缺陷，攻擊者能夠利用設(shè)計(jì)漏洞，對(duì)其進(jìn)行攻擊，導(dǎo)致大量經(jīng)濟(jì)損失。例如，以太坊中最大規(guī)模的一次攻擊致使整個(gè)區(qū)塊鏈進(jìn)行了版本回退，降低了人們對(duì)智能合約不可逆性質(zhì)的信任。本文針對(duì)智能合約以及區(qū)塊鏈技術(shù)的攻擊進(jìn)行分類與介紹，分析至今所進(jìn)行的智能合約弱點(diǎn)檢測(cè)技術(shù)，提供合約部署之前的安全檢查手段，同時(shí)提出了智能合約安全研究的未來(lái)可能方向。1問(wèn)題與挑戰(zhàn)智能合約存在的安全隱患主要可以被分為四類：惡意軟件傳播、共識(shí)機(jī)制缺陷、智能合約漏洞和用戶欺詐行為。本節(jié)針對(duì)每類安全隱患展開(kāi)了具體介紹。1.1惡意軟件傳播惡意軟件為攻擊者開(kāi)發(fā)，通過(guò)網(wǎng)絡(luò)傳播，在用戶端運(yùn)行，目的是盜取用戶信息或者進(jìn)行詐騙，其可以偽裝成正常的網(wǎng)頁(yè)頁(yè)面、郵件等形式，騙取用戶下載之后，干預(yù)用于在本終端上進(jìn)行的交易行為。一種常見(jiàn)的形式是將用戶數(shù)據(jù)劫持到剛剛產(chǎn)生的硬分支上，要求用戶與該分支進(jìn)行同步，這樣攻擊者就能夠在該分之上偽造交易記錄，騙取用戶的所有貨幣。另外攻擊者還常采取加密劫持、通信攻擊等技術(shù)誘導(dǎo)礦工處理錯(cuò)誤分支，從而對(duì)自己偽造的數(shù)據(jù)進(jìn)行區(qū)塊驗(yàn)證。此外還有很多惡意軟件使用區(qū)塊鏈技術(shù)幫助自身的傳播，他們不對(duì)區(qū)塊鏈本身進(jìn)行攻擊，而是使用區(qū)塊鏈的廣播特性，復(fù)制、傳播自己的拷貝。K-ary惡意軟件是一種利用區(qū)塊鏈技術(shù)的惡意軟件，通過(guò)將惡意程序的指令分成單獨(dú)的區(qū)塊，每個(gè)子程序僅包括一部分代碼，偽裝成正常的軟件，進(jìn)而躲避現(xiàn)存的惡意軟件檢測(cè)技術(shù)。Glupteba利用了區(qū)塊鏈進(jìn)行自身的復(fù)制和更新，能夠建立分散的將是網(wǎng)絡(luò)。這些惡意軟件還能夠竊取用戶的用戶名、密碼、Cookie等信息，從而造成更大的用戶數(shù)據(jù)泄露問(wèn)題。1.2共識(shí)機(jī)制缺陷比特幣與以太坊最早使用的共識(shí)機(jī)制為工作量證明（ProofofWork，PoW），依賴散列值函數(shù)來(lái)確保數(shù)據(jù)的正確性，由分散在各地的計(jì)算機(jī)，通過(guò)計(jì)算找到對(duì)應(yīng)區(qū)塊的猜測(cè)值，獲取該區(qū)塊的打包權(quán)，進(jìn)而獲得區(qū)塊獎(jiǎng)勵(lì)。攻擊者可以通過(guò)對(duì)該機(jī)制的攻擊獲得區(qū)塊鏈的完整控制權(quán)，可以控制交易記錄的記錄，甚至完全控制該加密貨幣的價(jià)格。常見(jiàn)的攻擊手段包括51%攻擊、自私挖礦以及34%攻擊。PoW假定整個(gè)區(qū)塊鏈網(wǎng)絡(luò)中至少存在50%的誠(chéng)信節(jié)點(diǎn)，如果單一節(jié)點(diǎn)控制超過(guò)51%的計(jì)算能力，就能控制整個(gè)區(qū)塊鏈網(wǎng)。女巫攻擊通過(guò)在網(wǎng)絡(luò)中創(chuàng)建大量的無(wú)效節(jié)點(diǎn)，消除冗余備份的作用，當(dāng)攻擊者創(chuàng)造足夠多的虛假身份，其可以以多數(shù)票控制整個(gè)區(qū)塊網(wǎng)絡(luò)，實(shí)現(xiàn)雙重花費(fèi)攻擊。日蝕攻擊通過(guò)將區(qū)塊鏈網(wǎng)絡(luò)分割，進(jìn)而在子網(wǎng)路中高于51%的計(jì)算能力，分別在兩個(gè)網(wǎng)絡(luò)中進(jìn)行51%攻擊。此外，BGP劫持通過(guò)英特網(wǎng)路由本身的特性，攔截比特幣流量，通過(guò)干擾關(guān)鍵的比特幣消息，減緩廣播的傳播速度，進(jìn)而攻擊比特幣網(wǎng)絡(luò)。1.3智能合約漏洞區(qū)塊鏈技術(shù)普遍采用智能合約作為區(qū)塊自動(dòng)化運(yùn)行的機(jī)制，不同的區(qū)塊鏈擁有自行設(shè)計(jì)的智能合約，盡管每個(gè)合約提出時(shí)都不同程度的強(qiáng)調(diào)了自身的完備性、隱私性與安全性。其中由于合約設(shè)計(jì)的問(wèn)題，常常可以通過(guò)對(duì)合約本身的分析進(jìn)而發(fā)現(xiàn)該區(qū)塊鏈的漏洞。智能合約應(yīng)用類似于運(yùn)行在區(qū)塊鏈上的網(wǎng)絡(luò)應(yīng)用，如網(wǎng)絡(luò)應(yīng)用一樣，如果沒(méi)有正確處理錯(cuò)誤或者完全沒(méi)有處理意外的錯(cuò)誤，會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)受到巨大的影響。例如，TheDAO攻擊利用了Solidity中的扣除與轉(zhuǎn)帳的順序錯(cuò)誤，多次調(diào)用了轉(zhuǎn)帳函數(shù)，而扣除函數(shù)始終沒(méi)有調(diào)用，導(dǎo)致?lián)p失了六千萬(wàn)美元，以太坊應(yīng)用均因代碼設(shè)計(jì)缺陷遭受了基于智能合約漏洞的攻擊。1.4用戶欺詐行為比特幣要求至少交易在6個(gè)區(qū)塊之后才能完全被確認(rèn)，但是面對(duì)快速支付，如果不能在短時(shí)間內(nèi)對(duì)交易進(jìn)行確認(rèn)，則交易者可以利用這一漏洞，欺騙賣家先支付貨物，同時(shí)短時(shí)間內(nèi)再次執(zhí)行相同金額的操作。對(duì)于礦工來(lái)說(shuō)，只會(huì)打包其中的一條記錄，這樣，對(duì)于賣家來(lái)說(shuō)在交易最終確認(rèn)之前就已經(jīng)支付了雙份的貨物，但是最終只能收到第二條交易的交易費(fèi)用。2研究現(xiàn)狀分析2.1常見(jiàn)攻擊手段本節(jié)我們對(duì)可能存在的智能合約攻擊技術(shù)進(jìn)行了介紹，這些可能存在的攻擊手段會(huì)使智能合約仍然正常運(yùn)行，導(dǎo)致錯(cuò)誤檢測(cè)變得尤為困難，因此這些攻擊手段會(huì)對(duì)區(qū)塊鏈造成嚴(yán)重的損害。2.1.1重入攻擊以太坊智能合約設(shè)計(jì)時(shí)，提供了調(diào)用外部其他合約的能力。合約通常也是處理以太幣，因此會(huì)將這一部分以太幣通過(guò)外部的合約處理，以太幣發(fā)送給外部用戶地址，調(diào)用外部合約。這些外部調(diào)用可能被攻擊者劫持，迫使合約進(jìn)一步執(zhí)行代碼，通過(guò)回調(diào)函數(shù)再次調(diào)用回調(diào)函數(shù)本身。這一過(guò)程實(shí)現(xiàn)了重新進(jìn)入合約，在余額檢查之前重復(fù)執(zhí)行回調(diào)函數(shù)。攻擊者可以發(fā)起單次重入和多次重入攻擊，通過(guò)攻擊者設(shè)定的特殊函數(shù)完成目標(biāo)任務(wù)。以太坊中著名的TheDAO事件即通過(guò)重入攻擊實(shí)現(xiàn)，最終導(dǎo)致六千萬(wàn)美元的以太幣被盜，以太坊社區(qū)最終采取硬分支以太坊區(qū)塊鏈，所有的資金被恢復(fù)到攻擊進(jìn)行之前。2.1.2算法上下溢出這一漏洞主要是以太坊虛擬機(jī)（EVM）為整數(shù)制定了固定大小的整數(shù)類型。當(dāng)輸入數(shù)據(jù)超過(guò)范圍且沒(méi)有進(jìn)行檢查時(shí)，就會(huì)導(dǎo)致溢出發(fā)生。攻擊者可以利用這一漏洞，允許攻擊者濫用代碼并創(chuàng)建意外的邏輯流程，允許攻擊者無(wú)視原本的邏輯判斷，獲得用戶的以太幣、Token等私密信息。2.1.3默認(rèn)可見(jiàn)性Solidity中的函數(shù)具有可見(jiàn)性說(shuō)明符，決定了一個(gè)函數(shù)是否能夠由用戶或其他的派生智能合約在外部調(diào)用、只允許內(nèi)部調(diào)用或只允許外部調(diào)用。默認(rèn)的函數(shù)可見(jiàn)默認(rèn)為puliic，如果沒(méi)有正確的隱藏有關(guān)合約余額更改的函數(shù)，則攻擊者可以直接調(diào)用該函數(shù)竊取合約中的貨幣。由于沒(méi)有對(duì)初始化函數(shù)制定可見(jiàn)性，導(dǎo)致攻擊者能夠在部署的合約上調(diào)用這些初始化函數(shù)，并將所有權(quán)重置為攻擊者，這樣攻擊者就可以盜取錢包中的所有以太幣。在ParityMultiSigWallet受到的一次攻擊中，價(jià)值約3100萬(wàn)美元的以太幣被盜。2.1.4短地址攻擊短地址攻擊遠(yuǎn)離同樣是因?yàn)橐蕴惶摂M機(jī)（EVM）的設(shè)計(jì)問(wèn)題。ERC20標(biāo)準(zhǔn)中，transfer函數(shù)對(duì)于短地址會(huì)從轉(zhuǎn)帳金額中取高位的0來(lái)補(bǔ)充，轉(zhuǎn)帳金額同時(shí)會(huì)在地位補(bǔ)上移走的0，等效于轉(zhuǎn)帳金額左移翻倍。攻擊者可以通過(guò)不填寫(xiě)轉(zhuǎn)帳地址末尾的0完成短地址攻擊，這是一種由于未檢驗(yàn)用戶輸入導(dǎo)致的合約漏洞。2.1.5時(shí)間戳修改區(qū)塊鏈中，時(shí)間戳存在著很多的用途，包括生成隨機(jī)數(shù)、鎖定一段時(shí)間的資金，以及各種給予時(shí)間變更的條件語(yǔ)句，如果區(qū)塊鏈中的礦工能夠調(diào)整時(shí)間戳，可以發(fā)起對(duì)交易者不平等的攻擊。一方面，礦工可以通過(guò)調(diào)整時(shí)間戳，產(chǎn)生特定需求的隨機(jī)數(shù)，另外，礦工可以依靠時(shí)間的控制，在某些以太坊程序操縱獲勝機(jī)制，進(jìn)而損害其他玩家利益。在GovernMental中，合約會(huì)在一輪內(nèi)支付給最后一個(gè)加入的玩家，這里限制玩家至少需要加入一分鐘，如果礦工能夠調(diào)整時(shí)間戳，顯示玩家已經(jīng)加入了一分鐘，則礦工可以限制快速滿足游戲要求。2.2防御手段及其局限性大部分以太坊智能合約出現(xiàn)問(wèn)題的本質(zhì)是智能合約本身的編寫(xiě)存在嚴(yán)重漏洞，其中包括不正確的邏輯關(guān)系、未驗(yàn)證的輸入行為以及很多未處理的錯(cuò)誤類型。這些都會(huì)導(dǎo)致智能合約在運(yùn)行過(guò)程中，被攻擊者利用，進(jìn)而影響智能合約的正常運(yùn)行。本節(jié)介紹了多種智能合約審計(jì)手段，并對(duì)其適用點(diǎn)以及不足進(jìn)行了分析。2.2.1SlitherSlither是一種用于智能合約的靜態(tài)分析框架，用于提供有關(guān)以太坊智能合約的有關(guān)信息。通過(guò)將Solidity智能合約轉(zhuǎn)換成一種稱為SlithIR的中間表示來(lái)工作，Slither能夠獲得智能合約的繼承圖、控制流圖，通過(guò)預(yù)定義的分析列表來(lái)對(duì)SlithIR進(jìn)行漏洞分析。能夠自動(dòng)的進(jìn)行程序分析、數(shù)據(jù)流和污點(diǎn)追蹤，主要可以應(yīng)用于自動(dòng)漏洞檢測(cè)、自動(dòng)優(yōu)化檢測(cè)、輔助用戶理解智能合約以及協(xié)助代碼審查。但是Slither缺乏形式語(yǔ)義，限制了執(zhí)行更詳細(xì)的安全分析，不能準(zhǔn)確的確定類似gas計(jì)算等低級(jí)信息。此外如果安全代碼不能夠吻合外部調(diào)用時(shí)，掃描進(jìn)程會(huì)被終止。2.2.2MythriMythri是一種開(kāi)源工具，利用符號(hào)執(zhí)行技術(shù)來(lái)確定智能合約中可能存在的錯(cuò)誤。其安全分析方法為檢查在以太坊虛擬機(jī)中執(zhí)行的字節(jié)碼。當(dāng)發(fā)現(xiàn)程序中的缺陷時(shí)，通過(guò)輸入的記錄分析確定可能存在的原因。能夠幫助推斷存在的漏洞并幫助減少利用漏洞的可能。盡管Mythri是一種啟發(fā)式檢測(cè)技術(shù)，在安全性分析中具有很高的準(zhǔn)確度，但是其仍具有一定的局限性。在執(zhí)行污點(diǎn)分析的時(shí)候，不能夠跨越內(nèi)存區(qū)域的限制，如果參數(shù)調(diào)用方式為引用式，這種限制會(huì)更加嚴(yán)重。2.2.3OyenteOyente是一種符號(hào)執(zhí)行工具，能夠直接與以太坊虛擬機(jī)一起使用，而無(wú)需訪問(wèn)高級(jí)語(yǔ)言形式。其不僅可以檢測(cè)不安全的錯(cuò)誤，同時(shí)能夠分析每條代碼的實(shí)際執(zhí)行路徑。Oyente對(duì)19,366個(gè)智能合約進(jìn)行分析，發(fā)現(xiàn)其中8,833個(gè)智能合約均存在漏洞問(wèn)題。Oyente只能夠檢測(cè)20.2%的ParityWallet攻擊，無(wú)法有效的記錄TOD漏洞，僅能夠防御諸如重入攻擊和時(shí)間戳控制的漏洞。2.2.4ManticoreManticore是一種Solidity審計(jì)手段，能夠?qū)χ悄芎霞s進(jìn)行符號(hào)分析，自動(dòng)產(chǎn)生用于漏洞分析的特定輸入、記錄指令級(jí)實(shí)現(xiàn)過(guò)程，并通過(guò)PythonAPI提供對(duì)其分析引擎的訪問(wèn)，對(duì)二進(jìn)制文件和以太坊智能合約進(jìn)行分析，用戶通過(guò)API自定義分析內(nèi)容。Manticore能防御重入攻擊和TX.origin濫用，但是不能檢測(cè)時(shí)間戳控制問(wèn)題。它需要針對(duì)每一種漏洞生成對(duì)應(yīng)的攻擊分析，因此它的運(yùn)行速度較慢。2.2.5SecruifySecruify是一種智能合約安全分析工具。能夠自動(dòng)化的分析證明給定智能合約是否是安全的。Secruity主要包括兩個(gè)步驟，首先分析智能合約的依賴關(guān)系圖，從中分析精確的語(yǔ)義信息，然后檢查特定的用于計(jì)算資產(chǎn)擁有者的代碼模式，據(jù)此給出智能合約的安全性分析結(jié)果。與Oyente和Mythril對(duì)比來(lái)說(shuō)，Securify利用靜態(tài)分析來(lái)分析智能合約的每條路徑。Secruify不包含數(shù)值分析，無(wú)法識(shí)別智能合約中可能存在的溢出問(wèn)題。2.2.6SmartCheckSmartCheck是一種能夠檢測(cè)Solidity代碼中漏洞的一種可拓展靜態(tài)分析工具。其通過(guò)將源代碼轉(zhuǎn)換成基于XML的中間表示形式，并根據(jù)XPath模式，分析元素之間的關(guān)聯(lián)關(guān)系，進(jìn)而分析程序漏洞。除了能夠檢測(cè)可能存在的漏洞，SmartCheck同時(shí)能解釋漏洞造成的原因并給出修改建議。SmartCheck無(wú)法檢測(cè)到一些只能由污點(diǎn)分析或者手動(dòng)分析處理的嚴(yán)重程序錯(cuò)誤，能夠識(shí)別智能合約中低風(fēng)險(xiǎn)的問(wèn)題包括錯(cuò)誤編譯器版本、不正確的樣式、冗余代碼等問(wèn)題。同時(shí)，也有分析指出SmartCheck無(wú)法分析重入攻擊和自殺合同等問(wèn)題。3未來(lái)研究方向智能合約中存在的主要問(wèn)題來(lái)源均為Solidity程序語(yǔ)言以及智能合約開(kāi)發(fā)者未能考慮到所有的漏洞情況。早期Solidity存在著很多的安全問(wèn)題，包括未經(jīng)檢查的函數(shù)回調(diào)、溢出未檢查以及時(shí)間戳修改設(shè)計(jì)等問(wèn)題。實(shí)際在智能合約的設(shè)計(jì)過(guò)程中，需要設(shè)計(jì)者充分考慮可能存在于合約代碼中的執(zhí)行漏洞，對(duì)錯(cuò)誤進(jìn)行完善的錯(cuò)誤處理，并對(duì)合約本身執(zhí)行相關(guān)的漏洞分析處理。但根本上應(yīng)該是Solidity自身進(jìn)行一定的迭代，從底層對(duì)可能發(fā)生的錯(cuò)誤進(jìn)行處理，而不應(yīng)該將這些錯(cuò)誤直接暴露給合約設(shè)計(jì)者。同時(shí)，應(yīng)該有更多針對(duì)新漏洞的分析軟件，通過(guò)靜態(tài)、動(dòng)態(tài)代碼分析，捕獲出現(xiàn)的風(fēng)險(xiǎn)問(wèn)題，及時(shí)給予合約開(kāi)發(fā)者調(diào)整修改的建議。另外可以考慮一種事實(shí)的合約保護(hù)處理方式，對(duì)常見(jiàn)的、危害大的漏洞增加新一層接口，使用這層接口首先對(duì)輸入輸出數(shù)據(jù)進(jìn)行過(guò)濾，之后再輸入給底層的智能合約進(jìn)行合約的處理工作。這樣可以實(shí)現(xiàn)動(dòng)態(tài)過(guò)濾同時(shí)能夠在不更改底層合約的情況下，完成對(duì)用戶的保護(hù)，還可以根據(jù)新風(fēng)險(xiǎn)的出現(xiàn)實(shí)時(shí)調(diào)整過(guò)濾手段。既然智能合約擁有傳統(tǒng)合約所不具有的優(yōu)點(diǎn)，也應(yīng)對(duì)智能合約應(yīng)用前景進(jìn)行研究，提早對(duì)可能存在的應(yīng)用場(chǎng)景進(jìn)行分析，就可以在實(shí)際部署之前，對(duì)該應(yīng)用角度進(jìn)行安