HOR:分析:Jet Protocol 任意提款漏洞

By:Johan@慢雾安全团队

据JetProtocol官方博客披露,他们近期修复了一个赏金漏洞,这个漏洞会导致恶意用户可以提取任意用户的存款资金,慢雾安全团队对此漏洞进行了简要分析,并将分析结果分享如下。

相关信息

JetProtocol是运行在Solana上的一个借贷市场,用户可将账号里的代币存入金库,赚取年化收益,同时也可以按一定的比例借出另一种代币。在这个过程中合约会给用户一个note凭证,作为用户未来的提款凭证,用我们熟悉的字眼来说就是LP,而本次漏洞发生的原因也和这个LP的设计有关。

我们知道和以太坊合约相比,Solana合约没有状态的概念,取而代之的是账号机制,合约数据都存储在相关联的账号中,这种机制极大提升了Solana的区块链性能,但也给合约编写带来了一些困难,最大的困难就是需要对输入的账号进行全面的验证。JetProtocol在开发时使用了Anchor框架进行开发,Anchor是由Solana上的知名项目Serum团队开发的,可以精简很多账号验证及跨合约调用逻辑。

INX Digital Company宣布与Greenbriar Capital Corp达成合作:金色财经报道,加密交易所运营商INX Digital Company宣布与Greenbriar Capital Corp达成合作,Greenbriar 股票首次可以在公共区块链网络上进行交易。

Greenbriar Capital Corp 是可再生能源和可持续房地产项目的知名开发商,重点关注 ESG(环境、社会和治理)。公司股票以非代币形式在美国场外交易 (OTC) 市场以 GEBRF 代号进行交易,在多伦多证券交易所以 GRB 代号进行交易。[2023/4/9 13:52:36]

Anchor是如何工作的呢?我们可以从JetProtocol的一段代码说起:

Voyager已将约2870万美元的加密货币转移到Binance.US和Coinbase:金色财经报道,PeckShield监测显示,Voyager已将价值约2870万美元的加密货币转移到加密货币交易所,其中包括1.5万枚ETH(约2530万美元)到Binance.US(1万枚)和Coinbase(5000枚)、2500亿枚SHIB(约340万美元)到Coinbase。

此前Voyager于2022年9月7日从FTX收到10.5万枚ETH(转账当天ETH为1559美元)。[2023/2/16 12:10:23]

programs/jet/src/instructions/init_deposit_account.rs

这里的deposit_account账号就是用于存储LP代币数据的账号,用户在首次使用时,需要调用合约生成该账号,并支付一定的存储费用。

美国联邦调查局:SBF试图通过加密消息应用和邮件联系潜在证人:1月30日消息,据美国司法部在周五提交的一份长达四页的文件中,检察官表示,SBF曾试图在1月15日通过加密消息应用程序Signal和电子邮件联系FTX US 的现任总法律顾问,后者被确定为证人- 1。此外,SBF还试图联系FTX的其他现任和前任员工。

因此,该文件要求阻止SBF接触FTX的现任或前任员工以及他的贸易公司Alameda Research的员工,除非有律师加入或获得政府许可。该文件还要求法官阻止 SBF使用“任何加密或临时呼叫或消息应用程序以防止妨碍司法公正,包括但不限于Signal。[2023/1/30 11:36:05]

而这里的?#?宏定义限定了这个账号的生成规则:

Cato调查:超过 66% 的公众反对美国采用数字美元:7月28日消息,总部位于华盛顿的自由派智库 Cato 最近进行的一项调查显示,超过 66% 的公众担心或完全反对美国采用数字美元,最常见的担忧是隐私、金融压迫和银行系统混乱的风险。而数字美元的支持者认为,它可以在与外国竞争对手的竞争中为国家安全带来好处,降低纸币生产的环境成本,并通过使其更加透明来提高对货币体系的信任。政策分析师表示:“2000 多名评论者中有三分之二反对 CBDC 的想法,这一事实不仅表明这不是几年前曾经的小众问题,而是美国人认识到 CBDC 的真正风险可能会影响他们的财务自由”。[2022/7/28 2:42:28]

规则1:#

这个约束中,init是指通过跨合约调用系统合约创建账号并初始化,payer=depositor意思是depositor为新账号支付存储空间费用。

Custodia Bank CEO:行业不良行为和监管机构不作为导致加密货币崩溃:7月2日消息,Custodia Bank首席执行官Caitlin Long表示,加密货币的崩溃是可以预见的。自2018年以来,比特币和加密货币中的高杠杆迹象就一直存在,她希望这一教训得到重视,但监管机构仍应受到指责,因为他们没有更快地打击不良行为,没有批准该行业的优秀公司和产品。

Long表示,灰度比特币信托(GBTC)是美国证券交易委员会(SEC)批准的为数不多的基金之一,投资者可以通过他们的经纪账户来获得比特币敞口,而不需要购买、存储或保护他们的比特币,最终“带来了大量对冲基金的资金,然而却对行业造成了严重破坏,真正摧毁了价值。”

Long进一步解释道,在这种情况下,由于供需失衡,GBTC的交易价格远高于比特币的市场价格,就像一个引入了大量杠杆的对冲基金。散户投资者纷纷买入,但也只是维持到SEC批准竞品之前。一旦竞争逐渐进入,像GBTC这样的封闭基金就会发生转变,开始以低于其资产净值的价格进行交易。(CoinDesk)[2022/7/2 1:46:17]

规则2:#

这个约束中将检查给定帐户是否是当前执行程序派生的PDA,PDA(ProgramDerivedAddress)?账号是一个没有私钥、由程序派生的账号,seed和bump是生成种子,如果bump未提供,则Anchor框架默认使用canonicalbump,可以理解成自动赋予一个确定性的值。

使用PDA,程序可以以编程方式对某些地址进行签名,而无需私钥。同时,PDA确保没有外部用户也可以为同一地址生成有效签名。这些地址是跨程序调用的基础,它允许Solana应用程序相互组合。这里用的是"deposits"字符+?reserve?账号公钥+?depositor?账号公钥作为?seeds,bump?则是在用户调用时传入。

规则3:#

这是一个SPL约束,用于更简便地验证SPL账号。这里指定deposit_account账号是一个token账号,它的mint权限是deposit_note_mint账号,authority权限是market_authority。

Account的宏定义还有很多,这里略表不提,详细可以考虑文档:

https://docs.rs/anchor-lang/latest/anchor_lang/derive.Accounts.html

有了这些前置知识,我们就可以直接来看漏洞代码:

programs/jet/src/instructions/withdraw_tokens.rs

正常情况下,用户调用函数withdraw_tokens提币时,会传入自己的LP账号,然后合约会销毁他的LP并返还相应数量的代币。但这里我们可以看到deposit_note_account账号是没有进行任何约束的,用户可以随意传入其他用户的LP账号。难道使用别人的LP账号不需要他们的签名授权吗?

通过前面分析宏定义代码,我们已经知道了market_authority账号拥有LP代币的操作权限,确实不需要用户自己的签名。那么market_authority又是一个怎么样的账号呢?我们可以看这里:

programs/jet/src/instructions/init_market.rs

这个market_authority也是一个PDA账号。也就是说合约通过自身的调用就可以销毁用户的LP代币。那么对于恶意用户来说,要发起攻击就很简单了,只要简单地把deposit_note_account账号设置为想要窃取的目标账号,withdraw_account账号设置为自己的收款账号,就可以销毁他的LP,并把他的存款本金提现到自己的账号上。

最后我们看一下官方的修复方法:

补丁中并未直接去约束deposit_note_account账号,而是去除了burn操作的PDA签名,并将authority权限改成了depositor,这样的话用户将无法直接调用这里的函数进行提现,而是要通过另一个函数withdraw()?去间接调用,而在withdraw()?函数中账号宏定义已经进行了严密的校验,恶意用户如果传入的是他人的LP账号,将无法通过宏规则的验证,将无法通过宏规则的验证,因为depositor需要满足signer签名校验,无法伪造成他人的账号。

programs/jet/src/instructions/withdraw.rs

总结

本次漏洞的发现过程比较有戏剧性,漏洞的发现人@charlieyouai在他的个人推特上分享了漏洞发现的心路历程,当时他发现burn的权限是market_authority,用户无法进行签名,认为这是一个bug,会导致调用失败且用户无法提款,于是给官方提交了一个赏金漏洞,然后就去吃饭睡觉打豆豆了。

而后官方开发者意识到了问题的严重性,严格地说,他们知道这段代码没有无法提现的漏洞,而是人人都可以提现啊,老铁,一个能良好运行的bug你知道意味着什么吗?!所幸的是没有攻击事件发生。

目前在Solana上发生过多起黑客攻击事件均与账号校验问题有关,慢雾安全团队提醒广大Solana开发者,注意对账号体系进行严密的审查。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-1:13ms