区块链中文技术社区

智能合约安全审计入门篇 —— 访问私有数据

了解如何访问合约中的私有数据(private 数据)

前置知识

我们先来了解一下 solidity 中的三种数据存储方式:

1. storage(存储)

定长数组中的每个元素都会有一个独立的插槽来存储。以一个含有三个 uint64 元素的定长数组为例,下图可以清楚的看出其存储方式:

- b.变长数组(长度随元素的数量而改变):

变长数组的存储方式就很奇特,在遇到变长数组时,会先启用一个新的插槽 slotA 用来存储数组的长度,其数据存储在另外的编号为 slotV 的插槽中。slotA 表示变长数组声明的位置,用 length 表示变长数组的长度,用 slotV 表示变长数组数据存储的位置,用 value 表示变长数组某个数据的值,用 index 表示 value 对应的索引下标,则

length = sload(slotA)
slotV = keccak256(slotA) + index
value = sload(slotV)

变长数组在编译期间无法知道数组的长度,没办法提前预留存储空间,所以 Solidity 就用 slotA 位置存储了变长数组的长度。
我们写一个简单的例子来验证上面描述的变长数组的存储方式:

    pragma solidity ^0.8.0;
    contract haha{
        uint[] user;
          function addUser(uint a) public returns (bytes memory){
              user.push(a);
              return abi.encode(user);
          }
    }

部署这个合约后调用 addUser 函数并传入参数 a = 998,debug 后可以看出变长数组的存储方式:

    - 其中第一个插槽为(这里存储的是变长数组的长度):

0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e563
这个值等于:
sha3("0x0000000000000000000000000000000000000000000000000000000000000000")
key = 0 这是当前插槽的编号
value = 1 这说明变长数组 user[] 中只有一条数据也就是数组长度为 1 ;

    - 第二个插槽为(这里存储的是变长数组中的数据):

0x510e4e770828ddbf7f7b00ab00a9f6adaf81c0dc9cc85f1f8249c256942d61d9
这个值等于:
sha3("0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e563")
插槽编号为:
key=0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e563
这个值等于:
sha3("0x0000000000000000000000000000000000000000000000000000000000000000")+0
插槽中存储的数据为:
value=0x00000000000000000000000000000000000000000000000000000000000003e6
也就是 16 进制表示的 998 ,也就是我们传入的 a 的值。
为了更准确的验证我们再调用一次 addUser 函数并传入 a=999 可以得到下面的结果:

这里我们可以看到新的插槽为:
0x6c13d8c1c5df666ea9ca2a428504a3776c8ca01021c3a1524ca7d765f600979a
这个值等于:
sha3("0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e564")
插槽编号为: key=0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e564
这个值等于:
sha3("0x0000000000000000000000000000000000000000000000000000000000000000")+1
插槽中的存储数据为:
value=0x00000000000000000000000000000000000000000000000000000000000003e7
这个值就是 16 进制表示的 999 也就是我们刚刚调用 addUser 函数传入的 a 的值。
通过上面的例子应该可以大致理解变长数组的存储方式了。

2. memory(内存)

3. calldata(调用数据)

可见性关键字

了解了 solidity 中的三种存储方式后我们再来了解一下合约中的四种可见性关键字:在 solidity 中,有四种可见性关键字:external,public,internal 和 private。默认时函数可见性为 public。对状态变量而言,除了不能用 external 来定义,其它三个都可以来定义变量,状态变量默认的可见性为 internal。

1. external 关键字

external 定义的外部函数可以被其它合约调用。用 external 修饰的外部函数 function() 不能作为内部函数直接调用,也就是说 function() 的调用方式必须用 this.function() 。

2. public 关键字

public 定义的函数可以被内部函数或外部消息调用。对用 public 定义的状态变量,系统会自动生成一个 getter 函数。

3. internal 用关键字

internal 定义的函数和状态变量只能在(当前合约或当前合约派生的合约)内部进行访问。

4. private 关键字

private 定义的函数和状态变量只对定义它的合约可见,该合约派生的合约都不能调用和访问该函数及状态变量。

综上可知,合约中修饰变量存储的关键字仅仅限制了其调用的范围,并没有限制其是否可读。所以我们今天就来带大家了解如何读取合约中的所有数据。

漏洞示例

这次我们的目标合约是部署在 Ropsten 上的一个合约。
合约地址:
0x3505a02BCDFbb225988161a95528bfDb279faD6b
链接:
https://ropsten.etherscan.io/address/0x3505a02BCDFbb225988161a95528bfDb279faD6b#code
这里我也给大家把合约源码展示出来:

contract Vault {
    uint256 public count = 123;
    address public owner = msg.sender;
    bool public isTrue = true;
    uint16 public u16 = 31;
    bytes32 private password;
    uint256 public constant someConst = 123;
    bytes32[3] public data;
    struct User {
        uint256 id;
        bytes32 password;
    }
    User[] private users;
    mapping(uint256 => User) private idToUser;

    constructor(bytes32 _password) {
        password = _password;
    }

    function addUser(bytes32 _password) public {
        User memory user = User({id: users.length, password: _password});
        users.push(user);
        idToUser[user.id] = user;
    }

    function getArrayLocation(
        uint256 slot,
        uint256 index,
        uint256 elementSize
    ) public pure returns (uint256) {
        return
            uint256(keccak256(abi.encodePacked(slot))) + (index * elementSize);
    }

    function getMapLocation(uint256 slot, uint256 key)
        public
        pure
        returns (uint256)
    {
        return uint256(keccak256(abi.encodePacked(key, slot)));
    }
}

漏洞分析

由上面的合约代码我们可以看到,Vault 合约将用户的用户名和密码这样的敏感数据记录在了合约中,由前置知识中我们可以了解到,合约中修饰变量的关键字仅限制其调用范围,这也就间接证明了合约中的数据均是公开的,可任意读取的,将敏感数据记录在合约中是不安全的。

读取数据

下面我们就带大家来读取这个合约中的数据。首先我们先看 slot0 中的数据:
由合约中可以看到 slot0 中只存储了一个 uint 类型的数据,我们读取出来看一下:
我这里使用 Web3.py 取得数据
首先写好程序

运行后得到

我们使用进制转换器转换一下

这里我们就成功的去到了合约中的第一个插槽 slot0 中存储的 uint 类型的变量 count=123 ,下面我们继续:
slot1 中存储三个变量:u16, isTrue, owner


从右往左依次为

owner = f36467c4e023c355026066b8dc51456e7b791d99
isTrue = 01 = true
u16 = 1f = 31

slot2 中就存储着私有变量 password 我们读取看看


slot 3, 4, 5 中存储着定长数组中的三个元素


slot6 中存储着变长数组的长度


我们从合约代码中可以看到用户的 id 和 password 是由键值对的形式存储的,下面我们来读取两个用户的 id 和 password:



好了,这里我们就成功的将合约中的所有数据读取完成,现在大家应该都能得出一个结论:合约中的私有数据也是可以读取的。

修复建议

  1. 作为开发者

不要将任何敏感数据存放在合约中,因为合约中的任何数据都可被读取。

  1. 作为审计者

在审计过程中应当注意合约中是否存在敏感数据,例如:秘钥,游戏通关口令等。

参考文献

本期讲解的知识有点偏底层,可以参考以下文章帮助你更好地理解:

转载:https://learnblockchain.cn/article/3880

当前页面是本站的「Google AMP」版。查看和发表评论请点击:完整版 »