总览
本文从源代码层面对Solidity编译器(0.5.8<=version<0.8.16)在ABIReencoding过程中,由于对固定长度的uint和bytes32类型数组的错误处理所导致的漏洞问题进行详细分析,并提出相关的解决方案及规避措施。
漏洞详情
ABI编码格式是用在用户或合约对合约进行函数调用,传递参数时的标准编码方式。具体可以参考Solidity官方关于ABI编码的详细表述。
在合约开发过程中,会从用户或其他合约传来的calldata数据中,获取需要的数据,之后可能会将获取的数据进行转发或emit等操作。限于evm虚拟机的所有opcode操作都是基于memory、stack和storage,所以在Solidity中,涉及到需要对数据进行ABI编码的操作,都会将calldata中的数据根据新的顺序按照ABI格式进行编码,并存储到memory中。
该过程本身并没有大的逻辑问题,但是当和Solidity的cleanup机制结合时,由于Solidity编译器代码本身的疏漏,就导致了漏洞的存在。
根据ABI编码规则,在去掉函数选择符之后,ABI编码的数据分为head和tail两部分。当数据格式为固定长度的uint或bytes32数组时,ABI会将该类型的数据都存储在head部分。而Solidity对memory中cleanup机制的实现是在当前索引的内存被使用后,将下一个索引的内存置空,以防止下一索引的内存使用时被脏数据影响。并且,当Solidity对一组参数数据进行ABI编码时,是按照从左到右的顺序进行编码!!
虚假Solana Phantom安全更新推送加密窃取恶意软件:10月11日消息,黑客正在向Solana加密货币所有者空投NFT,假装对新的Phantom安全更新发出警报,该更新导致安装加密窃取恶意软件和盗窃加密货币钱包。
这种持续的攻击始于两周前,名为“PHANTOMUPDATE.COM”或“UPDATEPHANTOM.COM”的NFT发出了声称是来自Phantom开发人员的警告。打开NFT时,钱包所有者会被告知新的安全更新已发布,他们应该单击随附的链接或访问该站点以下载并安装它。(Bleeping Computer)[2022/10/11 10:30:45]
为了便于后面的漏洞原理探索,考虑如下形式的合约代码:
contractEocene{
eventVerifyABI(bytes,uint);
functionverifyABI(bytescalldataa,uintcalldatab)public{
emitVerifyABI(a,b);//Event数据会按照ABI格式编码之后存储到链上
}
}
合约Eocene中verifyABI函数的作用,仅仅是将函数参数中的不定长bytesa和定长uintb进行emit。
这里需要注意,event事件也会触发ABI编码。这里参数a,b会编码成ABI格式后再存储到链上。
Solana生态算法稳定币UXD Protocol在新公链Sei上推出UXD:9月20日消息,专注于DeFi的新公链Sei今日宣布,Solana生态算法稳定币UXD Protocol正在新公链Sei上推出UXD。Sei表示,作为DeFi的基本组成部分,UXD稳定币的集成将为Sei用户提供无需许可、去中心化且稳定的记账单位。此外,UXD为在Sei上部署第一个Cosmos原生稳定币。[2022/9/20 7:07:45]
我们使用v0.8.14版本的Solidity对合约代码进行编译,通过remix进行部署,并传入verifyABI(,)。
首先,我们看一看对verifyABI(,)的正确编码格式:
0x52cd1a9c//bytes4(sha3("verify(btyes,uint)"))
0000000000000000000000000000000000000000000000000000000000000060//indexofa
0000000000000000000000000000000000000000000000000000000000011111//b
0000000000000000000000000000000000000000000000000000000000022222//b
0000000000000000000000000000000000000000000000000000000000000002//lengthofa
Solana生态连续结算协议Zebec V2 Beta版已上线:9月2日消息,Solana生态流支付协议Zebec在Solana Devnet上推出V2 Beta版。
此前消息,8月,Zebec以10亿美元完全稀释估值完成850万美元融资,CircleVentures、ShimaCapital、ResoluteVentures参投。[2022/9/2 13:04:27]
0000000000000000000000000000000000000000000000000000000000000040//indexofa
0000000000000000000000000000000000000000000000000000000000000080//indexofa
0000000000000000000000000000000000000000000000000000000000000003//lengthofa
aaaaaa0000000000000000000000000000000000000000000000000000000000//a
0000000000000000000000000000000000000000000000000000000000000003//lengthofa
bbbbbb0000000000000000000000000000000000000000000000000000000000//a
Solana Labs发布SPL-ZK代币开发计划,可实现SPL格式代币的隐私传输:12月14日消息,Solana开发团队Solana Labs在Github上发布了一项“SPL-ZK(零知识证明)-Token”开发计划。根据介绍,该程序是 SPL代币程序的配套程序,可实现 SPL 代币的保密(非匿名)传输。
据称,任何 SPL格式的代币都可启用上述隐私传输功能。但具有冻结权限的 SPL 代币可以选择启用一项功能,允许全球审计员查看所有隐私传输相关的交易记录与余额,同时使冻结权限扩展到隐私代币帐户。(Github)[2021/12/14 7:37:56]
如果Solidity编译器正常,当参数a,b被event事件记录到链上时,数据格式应该和我们发送的一样。让我们实际调用合约试试看,并对链上的log进行查看,如果想自己对比,可以查看该TX。
成功调用后,合约event事件记录如下:
!!震惊,紧跟b的,存储a参数长度的值被错误的删除了!!
0000000000000000000000000000000000000000000000000000000000000060//indexofa
0000000000000000000000000000000000000000000000000000000000011111//b
0000000000000000000000000000000000000000000000000000000000022222//b
公链Solana流通量存疑:800万流通代币外 基金会另向做市商借出1136万代币:金色财经报道,最近刚刚在Coinlist完成代币拍卖并在币安挂牌的公链项目Solana被爆出公示的代币流通数量存疑的问题,尽管交易所和项目方在多个渠道公示Solana代币目前总流通量约为826万(包括Coinlist拍卖的800万枚代币和空投的26万枚代币)左右,但有持币人在电报群中质疑称发现Solana基金会已经向做市商借出1136万代币。Solana团队在电报群中确认称,目前有826万Solana代币已经分发流通,而1136万枚代币是借给做市商用于提供流动性的用途。该团队同时表示,按照Coinmarketcap的定义,做市商持有的代币不计入流通量。[2020/4/28]
0000000000000000000000000000000000000000000000000000000000000000//lengthofa??whybecome0??
0000000000000000000000000000000000000000000000000000000000000040//indexofa
0000000000000000000000000000000000000000000000000000000000000080//indexofa
0000000000000000000000000000000000000000000000000000000000000003//lengthofa
aaaaaa0000000000000000000000000000000000000000000000000000000000//a
0000000000000000000000000000000000000000000000000000000000000003//lengthofa
bbbbbb0000000000000000000000000000000000000000000000000000000000//a
为什么会这样?
正如我们前面所说,在Solidity遇到需要进行ABI编码的系列参数时,参数的生成顺序是从左至,具体对a,b的编码逻辑如下
Solidity先对a进行ABI编码,按照编码规则,a的索引放在头部,a的元素长度以及元素具体值均存放在尾部。
处理b数据,因为b数据类型为uint格式,所以数据具体值被存放在head部分。但是,由于Solidity自身的cleanup机制,在内存中存放了b之后,将b数据所在的后一个内存地址(被用于存放a元素长度的内存地址)的值置0。
ABI编码操作结束,错误编码的数据存储到了链上,SOL-2022-6漏洞出现。
在源代码层面,具体的错误逻辑也很明显,当需要从calldata获取定长bytes32或uint数组数据到memory中时,Solidity总是会在数据复制完毕后,将后一个内存索引数据置为0。又由于ABI编码存在head和tail两部分,且编码顺序也是从左至右,就导致了漏洞的存在。
具体漏洞的Solidity编译代码如下:
当源数据存储位置为Calldata,且源数据类型为ByteArray,String,或者源数组基础类型为uint或bytes32时进入ABIFunctions::abiEncodingFunctionCalldataArrayWithoutCleanup()
进入之后,会首先通过fromArrayType.isDynamicallySized()对源数据是否为定长数组来对源数据进行判断,只有定长数组才符合漏洞触发条件。
将isByteArrayOrString()判断结果传递给YulUtilFunctions::copyToMemoryFunction(),根据判断结果来确定是否在calldatacopy操作完成后,对后一个索引位置进行cleanup。
上诉几个约束条件结合,就只有位于calldata中的源数据格式为定长的uint或bytes32的数组复制到内存时才能触发漏洞。也即是漏洞触发的约束条件产生的原因。
由于ABI进行参数编码时,总是从左到右的顺序,考虑到漏洞的利用条件,我们必须要明白,必须在定长的uint和bytes32数组前,存在动态长度类型的数据被存储到ABI编码格式的tail部分,且定长的uint或bytes32数组必须位于待编码参数的最后一个位置。
原因很明显,如果定长的数据没有位于最后一个待编码参数位置,那么对后一内存位置的置0不会有任何影响,因为下个编码参数会覆盖该位置。如果定长数据前面没有数据需要被存储到tail部分,那么即便后一内存位置被置0也没有关系,因为该位置并不背ABI编码使用。
另外,需要注意的是,所有的隐式或显示的ABI操作,以及符合格式的所有Tuple,都会受到该漏洞的影响。
具体的涉及到的操作如下:
event
error
abi.encode*
returns//thereturnoffunction
struct//theuserdefinedstruct
allexternalcall
解决方案
当合约代码中存在上诉受影响的操作时,保证最后一个参数不为定长的uint或bytes32数组
使用不受漏洞影响的Solidity编译器
寻求专业的安全人员的帮助,对合约进行专业的安全审计
关于我们
AtEoceneResearch,weprovidetheinsightsofintentionsandsecuritybehindeverythingyouknowordon'tknowofblockchain,andempowereveryindividualandorganizationtoanswercomplexquestionswehadn'tevendreamedofbackthen.
Learnmore:Website|Medium|Twitter
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。