DIT:Solidity编译器漏洞分析:ABI重编码的缺陷-ODAILY

总览

本文从源代码层面对Solidity编译器(0.5.8<=version<0.8.16)在ABIReencoding过程中,由于对固定长度的uint和bytes32类型数组的错误处理所导致的漏洞问题进行详细分析,并提出相关的解决方案及规避措施。

漏洞详情

ABI编码格式是用在用户或合约对合约进行函数调用,传递参数时的标准编码方式。具体可以参考Solidity官方关于ABI编码的详细表述。

在合约开发过程中,会从用户或其他合约传来的calldata数据中,获取需要的数据,之后可能会将获取的数据进行转发或emit等操作。限于evm虚拟机的所有opcode操作都是基于memory、stack和storage,所以在Solidity中,涉及到需要对数据进行ABI编码的操作,都会将calldata中的数据根据新的顺序按照ABI格式进行编码,并存储到memory中。

该过程本身并没有大的逻辑问题,但是当和Solidity的cleanup机制结合时,由于Solidity编译器代码本身的疏漏,就导致了漏洞的存在。

根据ABI编码规则,在去掉函数选择符之后,ABI编码的数据分为head和tail两部分。当数据格式为固定长度的uint或bytes32数组时,ABI会将该类型的数据都存储在head部分。而Solidity对memory中cleanup机制的实现是在当前索引的内存被使用后,将下一个索引的内存置空,以防止下一索引的内存使用时被脏数据影响。并且,当Solidity对一组参数数据进行ABI编码时,是按照从左到右的顺序进行编码!!

Sologenic联创:比特币今年年底可能会涨至4万美元:5月6日消息,区块链公司Sologenic联合创始人Bob Ras在接受采访时表示,随着大银行纷纷倒闭,这些投资者将比特币视为一种对冲工具,因为它具有去中心化的抗审查能力,而且没有交易对手风险,这一点似乎越来越清晰。

越来越多的人预期,美联储将放松货币政策,向市场有效注入更多流动性,以支撑金融体系。比特币在这种情况下走在了前面,预示着未来实际上会回到相对较低的利率水平。

他还预测,比特币今年年底可能会涨至4万美元。有证据表明,越来越多的人和机构在低点积累比特币,这实际上转化为供应冲击。由于卖家所剩无几,任何需求的上升都会对价格产生巨大影响。(Business Insider)[2023/5/6 14:47:18]

为了便于后面的漏洞原理探索,考虑如下形式的合约代码:

contractEocene{

eventVerifyABI(bytes,uint);

functionverifyABI(bytescalldataa,uintcalldatab)public{

emitVerifyABI(a,b);//Event数据会按照ABI格式编码之后存储到链上

}

}

合约Eocene中verifyABI函数的作用,仅仅是将函数参数中的不定长bytesa和定长uintb进行emit。

Blockware Solutions:BTC的上行阻力位为28,800美元:金色财经报道,比特币挖矿设备和托管服务提供商Blockware Solutions分析师在一份报告中表示,BTC 的上行阻力位在 28,800 美元,大约是 2021 年夏季调整期间的水平。分析师写道,这将是导致比特币再次回调的位置,可能继续盘整。为了维持目前的看涨结构,多头需要捍卫这一水平。突破这一水平显然是多头最理想的情况,但如果回调,我们希望看到 BTC 保持在 25,200 美元左右。

截至发稿时,比特币价格约为27,425美元,过去24小时内下跌超过3%。[2023/3/25 13:25:56]

这里需要注意,event事件也会触发ABI编码。这里参数a,b会编码成ABI格式后再存储到链上。

我们使用v0.8.14版本的Solidity对合约代码进行编译,通过remix进行部署,并传入verifyABI(,)。

首先,我们看一看对verifyABI(,)的正确编码格式:

0x52cd1a9c//bytes4(sha3("verify(btyes,uint)"))

0000000000000000000000000000000000000000000000000000000000000060//indexofa

0000000000000000000000000000000000000000000000000000000000011111//b

SOL突破15 USDT,24H涨幅为11.25%:1月9日消息,行情显示,SOL突破15 USDT,最高至16 USDT;现报15.435 USDT,24H涨幅为11.25%。[2023/1/9 11:02:13]

0000000000000000000000000000000000000000000000000000000000022222//b

0000000000000000000000000000000000000000000000000000000000000002//lengthofa

0000000000000000000000000000000000000000000000000000000000000040//indexofa

0000000000000000000000000000000000000000000000000000000000000080//indexofa

0000000000000000000000000000000000000000000000000000000000000003//lengthofa

aaaaaa0000000000000000000000000000000000000000000000000000000000//a

0000000000000000000000000000000000000000000000000000000000000003//lengthofa

Helium正建设移动网络,计划为Solana手机用户提供免费试用:金色财经报道,Helium Network母公司Nova Labs表示,它将为Solana Labs新Saga手机的客户提供SIM卡和免费试用。两家公司拒绝透露该计划的财务细节,此前Helium Network社区成员于9月投票决定放弃自己的区块链并迁移到更大的Solana区块链。

根据协议,在美国销售的Saga手机将获得Helium Mobile的30天免费订阅。Saga手机是Solana的旗舰Android设备,与Solana区块链紧密集成。[2022/11/6 12:21:24]

bbbbbb0000000000000000000000000000000000000000000000000000000000//a

如果Solidity编译器正常,当参数a,b被event事件记录到链上时,数据格式应该和我们发送的一样。让我们实际调用合约试试看,并对链上的log进行查看,如果想自己对比,可以查看该TX。

成功调用后,合约event事件记录如下:

!!震惊,紧跟b的,存储a参数长度的值被错误的删除了!!

0000000000000000000000000000000000000000000000000000000000000060//indexofa

0000000000000000000000000000000000000000000000000000000000011111//b

veDAO:Solidly合约并未关闭,Solidex将继续维护SolidlyUI:3月7日消息,FTM生态项目veDAO发推文称:我们通过AndreCronje(AC)相关公告得知Solidly前端关闭的消息,并正在与合作伙伴联系以协调响应。我们需要召集所有负责人一起计划一些行动,但请记住,这些是去中心化的项目,Solidly现有合约并未关闭,他们永远继续下去。Solidex将继续维护SolidlyUI。我们已经计划在Solidly之外扩展已有一段时间了,这些计划并未受到影响。

此前消息,Fantom基金会高级架构师Anton Nell称将和Andre Cronje退出DeFi和加密货币领域,并将于2022年4月3日关闭大约25个应用程序和服务。[2022/3/7 13:41:23]

0000000000000000000000000000000000000000000000000000000000022222//b

0000000000000000000000000000000000000000000000000000000000000000//lengthofa??whybecome0??

0000000000000000000000000000000000000000000000000000000000000040//indexofa

0000000000000000000000000000000000000000000000000000000000000080//indexofa

0000000000000000000000000000000000000000000000000000000000000003//lengthofa

aaaaaa0000000000000000000000000000000000000000000000000000000000//a

0000000000000000000000000000000000000000000000000000000000000003//lengthofa

bbbbbb0000000000000000000000000000000000000000000000000000000000//a

为什么会这样?

正如我们前面所说,在Solidity遇到需要进行ABI编码的系列参数时,参数的生成顺序是从左至,具体对a,b的编码逻辑如下

Solidity先对a进行ABI编码,按照编码规则,a的索引放在头部,a的元素长度以及元素具体值均存放在尾部。

处理b数据,因为b数据类型为uint格式,所以数据具体值被存放在head部分。但是,由于Solidity自身的cleanup机制,在内存中存放了b之后,将b数据所在的后一个内存地址(被用于存放a元素长度的内存地址)的值置0。

ABI编码操作结束,错误编码的数据存储到了链上,SOL-2022-6漏洞出现。

在源代码层面,具体的错误逻辑也很明显,当需要从calldata获取定长bytes32或uint数组数据到memory中时,Solidity总是会在数据复制完毕后,将后一个内存索引数据置为0。又由于ABI编码存在head和tail两部分,且编码顺序也是从左至右,就导致了漏洞的存在。

具体漏洞的Solidity编译代码如下:

当源数据存储位置为Calldata,且源数据类型为ByteArray,String,或者源数组基础类型为uint或bytes32时进入ABIFunctions::abiEncodingFunctionCalldataArrayWithoutCleanup()

进入之后,会首先通过fromArrayType.isDynamicallySized()对源数据是否为定长数组来对源数据进行判断,只有定长数组才符合漏洞触发条件。

将isByteArrayOrString()判断结果传递给YulUtilFunctions::copyToMemoryFunction(),根据判断结果来确定是否在calldatacopy操作完成后,对后一个索引位置进行cleanup。

上诉几个约束条件结合,就只有位于calldata中的源数据格式为定长的uint或bytes32的数组复制到内存时才能触发漏洞。也即是漏洞触发的约束条件产生的原因。

由于ABI进行参数编码时,总是从左到右的顺序,考虑到漏洞的利用条件,我们必须要明白,必须在定长的uint和bytes32数组前,存在动态长度类型的数据被存储到ABI编码格式的tail部分,且定长的uint或bytes32数组必须位于待编码参数的最后一个位置。

原因很明显,如果定长的数据没有位于最后一个待编码参数位置,那么对后一内存位置的置0不会有任何影响,因为下个编码参数会覆盖该位置。如果定长数据前面没有数据需要被存储到tail部分,那么即便后一内存位置被置0也没有关系,因为该位置并不背ABI编码使用。

另外,需要注意的是,所有的隐式或显示的ABI操作,以及符合格式的所有Tuple,都会受到该漏洞的影响。

具体的涉及到的操作如下:

event

error

abi.encode*

returns//thereturnoffunction

struct//theuserdefinedstruct

allexternalcall

解决方案

当合约代码中存在上诉受影响的操作时,保证最后一个参数不为定长的uint或bytes32数组

使用不受漏洞影响的Solidity编译器

寻求专业的安全人员的帮助,对合约进行专业的安全审计

关于我们

AtEoceneResearch,weprovidetheinsightsofintentionsandsecuritybehindeverythingyouknowordon'tknowofblockchain,andempowereveryindividualandorganizationtoanswercomplexquestionswehadn'tevendreamedofbackthen.

Learnmore:Website|Medium|Twitter

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

USDTWEB:一文了解ZKWasm及其最新进展

WebAssembly是一种广泛采用的虚拟机,它彻底改变了Web开发。其卓越的效率、可移植性以及与流行编程语言的兼容性使其深受全球开发者喜爱.

BTCWEB:Web3尽头是Web2-ODAILY

原文作者:Blcokunicorn web2与web3web2是我们当前的主流互联网版本,它是基于中心化架构的互联网,由中心化平台提供服务并主导如今的互联网,如推特、脸书、微信等.

[0:46ms0-0:862ms