イーサリアム暗号通貨：脆弱なスマートコントラクトのエクスプロイトを作成してトークンを取得する

暗号通貨についての会話で既にいくつのコピーが壊れていますか？ 銀行と政府機関はその法的地位について議論していますが、民間組織はブロックチェーンを使用するさまざまな方法を考え出します。 この技術と関連製品の安全性について考えました。

NeoQUEST-2017タスクの例では、 スマートイーサリアム（ビットコインに次いで2番目に人気のある暗号通貨）を扱います。 競合他社は、脆弱な契約のエクスプロイトを作成する必要がありました。 これを行う方法-カットの下で読んでください！

イーサリアムとは何ですか？

イーサリアムは暗号通貨です 。つまり、誰が持っているお金についての情報を保存する分散データベースです。 ユーザーは、トランザクションを使用してデータベースと対話できます-正当性が確認され、特別なユーザーによってブロックに組み立てられるコマンド-マイナー。

トランザクションがブロックに分類されると、確認済みと見なされ、その効果が有効になります。 トランザクションブロックのチェーン（ブロックチェーン）は、すべてのユーザー間でデータの整合性とデータベースの状態の同期を保証します。

Ethereumの機能は、スマートコントラクトのサポートです。 スマートコントラクトは、ブロックチェーンに入力され、個別の暗号通貨アカウントを管理するコードです。 彼はお金の送受信、情報の処理、重要なデータの保存ができます。 アカウント管理は、事前に設定された未変更のアルゴリズムに従って、人間の介入なしに実行されます。

スマートコントラクトのコードはさまざまな言語で記述できますが、最も一般的なのはSolidityです（ ここでは、Solidityのスマートコントラクトの実装に関する好奇心をかきたてます）。 この言語はJavaScriptに似ていますが、ブロックチェーンを操作するための特別な構造が追加されています。 JSとの重要な違いは、コードがEthereum仮想マシン（EVM）のバイトコードにコンパイルされることです。 バイトコードは、特別なトランザクションを使用して公開されます。

ブロックチェーンに入った後、スマートコントラクトは暗号通貨の送受信に使用できるアドレスを受け取ります。 ユーザーは、トランザクションを使用してさまざまなコントラクトメソッドを呼び出すことができます。 このようなトランザクションは、契約コードを使用して処理されます。



スマートコントラクトの1つのアプリケーションは、 分散型の自律組織 （DAO）の作成です。 このような組織は通常、トークンを暗号通貨と交換して販売しています。 トークン所有者は組織を管理できます。たとえば、新しいトークンの発行や、スマートコントラクトで蓄積されたお金での企業のスポンサーに関する決定を行うことができます。 かなり多数の暗号通貨をDAOコントラクトで収集できます。スマートコントラクトのコードにエラーがあると、DAOはその富を手に入れることができるため、ハッカーにとって望ましいターゲットになります。

タスクの初期データ

伝説によると、参加者は宇宙船のエンジンと燃料を入手する必要があり、StarDAO Webサイトから入手できます。 このサイトの情報は、同社が宇宙機器の取引にイーサリアム暗号通貨に基づくスマート契約を使用していることを示しています。



サイトに登録すると、個人アカウントにアクセスできるようになります。ここから、暗号通貨を使用した基本的な操作を実行できます。 さらに、登録時に少量の暗号通貨が発行されます。1ETH、または（同じ）10 ¹⁸ WEI、ETHの最小粒子です。



「商品を入手」タブがすぐそこにありますが、発行コードを見つけようとするとエラーが発生します。 Webサーバーは、スマートコントラクトを使用して、選択したアカウントのエンジンと燃料をチェックしているようです（HasFuel（）およびHasDrive（）関数があることは無駄ではありません！）。 問題コードは、検証結果が成功した場合にのみ提供されます。

パート1：燃料を入手する

 function HasFuel(address addr) constant returns (bool) { return fuelAccess[addr]; } 

HasFuel（）関数はfuelAccess配列をチェックし、渡されたアドレスに対応する配列セルにtrueが入力された場合にのみtrueを返します。 したがって、条件fuelAccess [our_address] == trueを実現する必要があります。

 function BuyFuel() { uint fuelPrice = 1000000000000000000000000; if (starTokens[msg.sender] >= fuelPrice) { starTokens[msg.sender] -= fuelPrice; starTokensTotalSupply -= fuelPrice; fuelAccess[msg.sender] = true; } } 

BuyFuel（）関数は、燃料のコストを10 ²⁴ WEI、つまり100万ETHに設定します。 次に、関数を呼び出したユーザーが十分な数のトークンを持っていることを確認します。 成功すると、トークンは償却され、燃料の購入に関する情報がfuelAccess配列に入力されます。 したがって、キーを取得するために必要なのは、購入に十分な資金を取得することです。

 function SellTokens(uint amount) { if (starTokens[msg.sender] >= amount) { if (msg.sender.call.value(amount)() == false) throw; starTokensTotalSupply -= amount; starTokens[msg.sender] -= amount; } } 

トークンの暗号通貨の交換、1つのアカウントから別のアカウントへのトークンの転送、および暗号通貨のトークンの逆交換は、関数BuyTokens（） 、 SendTokens（） 、およびSellTokens（）によって実行されます。 後者は特に興味深いものです。 この関数は、ユーザーが暗号通貨と交換したいトークンの数を入力として受け入れ、ユーザーが十分な数のトークンを持っているかどうかを確認します。

テストが成功すると、関数は要求されたWEI番号をユーザーに送信しようとします。 何らかの理由でユーザーが送金を受け入れない場合、throwオペレーターが呼び出されます。これにより、契約が終了し、すべての変更がロールバックされます。 お金が届くと、引き出されたトークンの数がユーザートークンの数から差し引かれます。

一見、関数のアルゴリズムは正しいです。 これはそうですが、... 1つの特別な場合ではありません！ 問題は、この関数は通常のユーザーではなく、別のスマートコントラクトによって呼び出すことができるということです。 この契約には、フォールバック機能と呼ばれるものがあります。これは、契約がお金を受け入れるたびに呼び出されます。 したがって、条件をチェックしてからトークンを書き出すまでの間に、任意のコードを実行できます。

もちろん、コードは支払い受諾契約のコンテキストで実行され、StarDAO契約に直接影響を与えることはできません。 ただし、そこからStarDAOコントラクトの関数を呼び出して、 SellTokens（）の原子性に違反することを妨げるものはありません。

 bool attack = true; function () payable { if (attack) { attack = false; dao.SellTokens(1); } } 

これはどのように使用できますか？ 現在、StarDAOに正確に1つのトークンを持つ契約があるとしましょう。 契約に論理変数attack = trueがあり、攻撃をチェックし、成功した場合はfalseにリセットして1つのトークンを販売するフォールバック関数があるとします。 契約が保有するトークンを1つ売ろうとするとどうなるか見てみましょう。

そして、何か面白いことが起こります！ 契約はSellTokens（1）を呼び出します。 StarDAOは、starTokens [our_address]≥1-契約にトークンが1つしかないため、条件が満たされていることを確認します。 StarDAOは契約に1 WEIを送信し、その結果、フォールバック関数が呼び出されます。 彼女は攻撃フラグをリセットし、 SellTokens（1）を再度呼び出します。

StarDAOは、starTokens [our_address]≥1であることを再度確認します。1つのトークンがまだ償却されていないため、条件はまだ満たされています。 したがって、StarDAOは再び1 WEIを契約に送信します（同時に、フォールバック関数は何もしません。現在はattack = falseです）。 その後、StarDAOは送信された各WEIの契約トークンからユニットを差し引きます。

最初の引き算の後、トークンの数はゼロになり、2番目の後、整数変数のオーバーフローにより、契約は（2 ²⁵⁶ -1）トークンのラッキーホルダーになります。 燃料には十分です（そして、それが最初の鍵です）！

攻撃の完全な契約コードを以下に示します。 StarDAOコントラクトとの相互作用の機能を示し、攻撃のすべてのステップが含まれています。

パート2：エンジンを取得する

  function GetDrive(bytes code) { uint codeHash = CalcCodeHash(code); if (bonusCodes[codeHash]) { bonusCodes[codeHash] = false; driveAccess[msg.sender] = true; } } 

GetDrive（）は、エンジンを取得します。 入力としていくつかのコードを受け取り、その変更されたkeccak-256ハッシュを計算し、bonusCodes配列にこのハッシュの存在を確認します。 ハッシュがある場合は削除され、ユーザーはエンジンを受け取ります。

 address owner; modifier onlyOwner { if (msg.sender != owner) throw; _; } function AddBonusCode(uint code) onlyOwner { bonusCodes[code] = true; } 

AddBonusCode（）関数を使用して、bonusCodes配列にハッシュを追加できます。 キャッチは、onlyOwner修飾子は、アドレスが所有者変数に格納されているアカウントの所有者のみを許可することです。 そのため、コードを追加して使用するには、契約の所有者になる必要があります。

 function StarDAO() payable { owner = msg.sender; } function TransferOwnership(address newOwner) onlyOwner { owner = newOwner; } 

所有者変数は、契約内でわずか2か所で変更されます。

まず、StarDAO（）コントラクトのコンストラクターで指定されます。 コンストラクターは、コントラクトを作成するときに1回だけ呼び出されます。 したがって、それを使用して所有者を変更すると失敗します。

次に、 TransferOwnership（）関数がありますが、onlyOwner修飾子があります。 また、所有者を変更するのにも適していません。

この時点で、所有者を変更することは不可能のようです。 しかし、これはそうではありません！ SolidityはJavaScriptに似ていますが、コンパイルされ、結果のバイトコードは変数ではなくメモリ内のアドレスで機能します。 そのため、所有者の値が保存されている場所を特定し、そこに低いレベルで上書きすることができます。

これを行うには、Ethereum仮想マシンでメモリがどのように機能するかを理解する必要があります。 コントラクトを実行するとき、メモリとストレージの2種類のメモリが使用されます（実際、コード、スタック、コールデータがありますが、これらは微妙です）。 メモリは一時メモリであり、その内容はブロックチェーンに書き込まれず、コントラクトコール間で保存されません。 反対に、ストレージはブロックチェーン上にあり、コントラクトの定数変数の値を格納します。

格納するメモリを明示的に指定せずに変数をSolidityで宣言するたびに、メモリタイプが自動的に割り当てられます。 たとえば、すべてのグローバル変数とすべての配列は、デフォルトでストレージに保存されます。 ストレージは、アドレス長が2 ²⁵⁶ビットのアドレス空間で、32バイトのセルに分割されます。 すべての静的変数（整数、一定サイズの配列など）は、アドレス0x0から順番にストレージに格納されます。 サイズが動的に変化する変数はより複雑な方法で保存され、アドレスはkeccak-256ハッシュを使用して計算されます。

 function HashReverse(bytes s) constant returns (uint8[32]) { uint8[32] res; bytes32 z = sha3(s); for (uint8 i = 0; i < 32; i++) res[31-i] = uint8(z[i]); return res; } 

これはどのように契約の所有者を変えるのに役立ちますか？ HashReverse（）関数を見ると、res配列を使用していることがわかります。 宣言されると、メモリタイプは設定されません。つまり、ストレージに格納されます。 さらに、この配列は宣言されているだけで、初期化されていません。

Ethereum仮想マシンはデフォルトですべてのデータをゼロで初期化するため、配列にはアドレス0x0が与えられ、一種のNULL POINTERの役割を果たします。 そのため、配列への書き込み時に、ストレージの最初の32バイトが変更されます。その中で、コントラクトで宣言された最初の変数-所有者が格納されます。

また、定数修飾子をサポートするSolidityバージョンはないため（この単語は、関数によるブロックチェーンへの変更を防ぐために将来のために予約されています）、契約所有者のアドレスを書き換えることが可能になります。

所有者変数にアドレスを書き込み、それをパラメーターとしてHashReverse（）関数に渡すだけでは、引数が最初にハッシュされるため機能しません。 幸いなことに、イーサリアムアドレスは、アカウントの公開キーからのハッシュにすぎず、ユーザーの個人アカウントで表示できます。



上記の例では、公開キーは0xe969598d9dcacebd89d0ca96f0a66c6908f9c3ff4f6652ac2d110fc49ae8f7d18313f2ecbbb612778d815c22cb858438a504e76c70de013c26c4c86e72dです。 したがって、コントラクトの所有者になるには、引数[0xe9、0x69、0x59、0x8d、0x9d、0xca、0xce、0xbd、0x89、0xd0、0xca、0x96、0xf0、0xa6、0x6c、0x669、0x669を指定して（トランザクションメソッド）HashReverse（）を呼び出す必要があります、0x08に、0xf9、0xc3、0xFFを、0x4f、は0x66、0x52、0xACの、0x2d、0x11を、0x0Fの、0xc4、0x9a、0xe8、0xf7、0xd1、0x83の、0x13に、0xf2、0xec、0xbb、0xb6、0x12を、0x77、0x8d 、0x81、0x5c、0x22、0xcb、0x85、0x84、0x38、0xa5、0x04、0xe7、0x6c、0x70、0xde、0x01、0x3c、0x26、0xc4、0xc8、0x6e、0x72、0xdc、07 この後にGetOwner（）関数を呼び出すことにより 、アカウントアドレスと契約所有者が同じであることを確認できます。



次のステップは、コードを追加してエンジンを取得することです。 これを行うには、次のものが必要です。

1. バイトのセット（たとえば、[0x01、0x02、0x03]）を取得します。
2. それからkeccak-256ハッシュを計算します（この例では、0xf1885eda54b7a053318cd41e2093220dab15d65381b1157a3633a83bfd5c9239を取得します）。
3. フリップします（0x39925cfd3ba833367a15b18153d615ab0d2293201ed48c3153a0b754da5e88f1）。
4. 10進数として表示（26040433828516858466028575311317889779993153936426418137092284197924182591729）。
5. AddBonusKey（）を呼び出して、この番号をパラメーターとして渡します。

たとえば、変換を実行するために、Python用のpysha3ライブラリを使用できます。



最後に、追加されたコードを使用する必要があります。 これを行うには、 GetDrive（）を呼び出して、コードの作成元のバイトを渡します。 宇宙船のエンジンであるボイラ（および2番目のキー）が届きました！

結論として

現在、ブロックチェーンは実際のアプリケーションを見つけ始めています。 たとえば、 分散ファイルストレージ 、 電子投票に使用され、一部の銀行は暗号通貨用の特別なカードを発行します。

ブロックチェーンは、入力されたデータの整合性を保証しますが、上位のアプリケーションのエラーに対する保護は行いません。 良い例は、 攻撃者が組織のスマートコントラクトのエラーを使用して膨大な量の暗号通貨（6,000万ドル相当）を盗む、 DAOへの攻撃です。 この攻撃はThe DAOの死をもたらし、イーサリアムの安定を揺るがしました。 幸いなことに、お金は正当な所有者に返還されました。 しかし、この事件は、ブロックチェーン技術の適用において情報セキュリティを確保することの重要性を強調しました。

NeoQUESTの課題の1つで暗号通貨の使用に関連するセキュリティ上の問題を示しました。参加者が課題を完了する過程で、そしてこの記事から多くを学んだことを本当に願っています。 ちなみに、 タスクのあるサイトはまだ利用可能ですが 、タスクを完了していない人は最終的に完了できます！