16.访问私有数据攻击
2023-06-23 20:43:06 # 00.security

访问私有数据攻击

前置知识

我们先来了解一下 solidity 中的三种数据存储方式:

storage(存储)

  • storage 中的数据被永久存储。其以键值对的形式存储在 slot 插槽中。
  • storage 中的数据会被写在区块链中(因此它们会更改状态),这就是为什么使用存储非常昂贵的原因。
  • 占用 256 位插槽的 gas 成本为 20,000 gas。
  • 修改 storage 的值将花费 5,000 gas 。
  • 清理存储插槽时(即将非零字节设置为零),将退还一定量的 gas 。
  • storage 共有 2^256 个插槽,每个插槽 32 个字节数据按声明顺序依次存储,数据将会从每个插槽的右边开始存储,如果相邻变量适合单个 32 字节,然后它们被打包到同一个插槽中否则将会启用新的插槽来存储。

图片

  • storage 中的数组的存储方式就比较独特了,首先,solidity 中的数组分为两种:

定长数组(长度固定):定长数组中的每个元素都会有一个独立的插槽来存储。以一个含有三个 uint64 元素的定长数组为例,下图可以清楚的看出其存储方式:

图片

变长数组(长度随元素的数量而改变):

变长数组的存储方式就很奇特,在遇到变长数组时,会先启用一个新的插槽 slotA 用来存储数组的长度,其数据存储在另外的编号为 slotV 的插槽中。slotA 表示变长数组声明的位置,用 length 表示变长数组的长度,用 slotV 表示变长数组数据存储的位置,用 value 表示变长数组某个数据的值,用 index 表示 value 对应的索引下标,则

length = sload(slotA)

slotV = keccak256(slotA) + index

value = sload(slotV)

变长数组在编译期间无法知道数组的长度,没办法提前预留存储空间,所以 Solidity 就用 slotA 位置存储了变长数组的长度。

我们写一个简单的例子来验证上面描述的变长数组的存储方式:

1
2
3
4
5
6
7
8
9
10
11
pragma solidity ^0.8.0;

contract haha{
  
  uint[] user;

  function addUser(uint a) public returns (bytes memory){
    user.push(a);
    return abi.encode(user);
  }
}

部署这个合约后调用 addUser 函数并传入参数 a = 998,debug 后可以看出变长数组的存储方式:

图片

其中第一个插槽为(这里存储的是变长数组的长度):0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e563,这个值等于:sha3("0x0000000000000000000000000000000000000000000000000000000000000000"),key = 0 这是当前插槽的编号,value = 1 这说明变长数组 user[] 中只有一条数据也就是数组长度为 1 ;

第二个插槽为(这里存储的是变长数组中的数据):0x510e4e770828ddbf7f7b00ab00a9f6adaf81c0dc9cc85f1f8249c256942d61d9,这个值等于:sha3("0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e563"),插槽编号为:key=0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e563,这个值等于:sha3("0x0000000000000000000000000000000000000000000000000000000000000000")+0,插槽中存储的数据为:value=0x00000000000000000000000000000000000000000000000000000000000003e6,也就是 16 进制表示的 998 ,也就是我们传入的 a 的值。

为了更准确的验证我们再调用一次 addUser 函数并传入 a=999 可以得到下面的结果:

图片

这里我们可以看到新的插槽为:0x6c13d8c1c5df666ea9ca2a428504a3776c8ca01021c3a1524ca7d765f600979a,这个值等于:sha3("0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e564"),插槽编号为:key=0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e564,这个值等于:sha3("0x0000000000000000000000000000000000000000000000000000000000000000")+1,插槽中的存储数据为:value=0x00000000000000000000000000000000000000000000000000000000000003e7,这个值就是 16 进制表示的 999 也就是我们刚刚调用 addUser 函数传入的 a 的值。

通过上面的例子应该可以大致理解变长数组的存储方式了。

memory(内存)

  • memory 是一个字节数组,其插槽大小为 256 位(32 个字节)。数据仅在函数执行期间存储,执行完之后,将会被删除。它们不会保存到区块链中。
  • 读或写一个字节(256 位)需要 3 gas 。
  • 为了避免给矿工带来太多工作,在进行 22 次读写操作后,之后的读写成本开始上升。

calldata(调用数据)

  • calldata 是一个不可修改的,非持久性的区域,用于存储函数参数,并且其行为基本上类似于 memory。
  • 调用外部函数的参数需要 calldata,也可用于其他变量。
  • 它避免了复制,并确保了数据不能被修改。
  • 带有 calldata 数据位置的数组和结构体也可以从函数中返回,但是不可以为这种类型赋值。

漏洞示例

这次我们的目标合约是部署在 Ropsten 上的一个合约。合约地址:0x3505a02BCDFbb225988161a95528bfDb279faD6b链接

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
contract Vault {
    uint public count = 123;
    address public owner = msg.sender;
    bool public isTrue = true;
    uint16 public u16 = 31;
    bytes32 private password;
    uint public constant someConst = 123;
    bytes32[3] public data;

    struct User {
        uint id;
        bytes32 password;
    }
    User[] private users;
    mapping(uint => User) private idToUser;

    constructor(bytes32 _password) {
        password = _password;
    }

    function addUser(bytes32 _password) public {
        User memory user = User({id: users.length, password: _password});

        users.push(user);
        idToUser[user.id] = user;
    }

    function getArrayLocation(
        uint slot,
        uint index,
        uint elementSize
) public pure returns (uint) {
        return uint(keccak256(abi.encodePacked(slot))) + (index * elementSize);
    }

    function getMapLocation(uint slot, uint key) public pure returns (uint) {
        return uint(keccak256(abi.encodePacked(key, slot)));
    }
}

漏洞分析

由上面的合约代码我们可以看到,Vault 合约将用户的用户名和密码这样的敏感数据记录在了合约中,由前置知识中我们可以了解到,合约中修饰变量的关键字仅限制其调用范围,这也就间接证明了合约中的数据均是公开的,可任意读取的,将敏感数据记录在合约中是不安全的。

读取数据

下面我们就带大家来读取这个合约中的数据。首先我们先看 slot0 中的数据:由合约中可以看到 slot0 中只存储了一个 uint 类型的数据,我们读取出来看一下:

我这里使用 Web3.py 取得数据

首先写好程序

图片

运行后得到

图片

我们使用进制转换器转换一下

图片

这里我们就成功的去到了合约中的第一个插槽 slot0 中存储的 uint 类型的变量 count=123 ,下面我们继续:

slot1 中存储三个变量:u16, isTrue, owner

图片

图片

从右往左依次为

  • owner = f36467c4e023c355026066b8dc51456e7b791d99
  • isTrue = 01 = true
  • u16 = 1f = 31

slot2 中就存储着私有变量 password 我们读取看看

图片

图片

无法查询 uint public constant someConst = 123;,因为他被标注为了constant,写进了字节码

slot 3, 4, 5 中存储着定长数组中的三个元素

图片

图片

slot6 中存储着变长数组的长度

图片

图片

在合约中,结构体User中又id和password,在动态数组users中,是按照顺序存储的。例如:用户1的id,用户1的password,用户2的id,用户2的password……。下面我们来读取两个用户的 id 和 password:

user1

图片

图片

user2

图片

图片

0xf652222313e28459528d920b65115c16c04f3efc82aaedc97be59f3f377c0d3f是如何计算出来的呢?

keccak256(bytes32(slot))来算出。本处的动态数组users所在的插槽是slot6,则:keccak256(abi.encode(0x0000000000000000000000000000000000000000000000000000000000000006))。下图是remix验证的结果:

image-20221218225210864

我们发现:键值对是按照顺序一个一个排列的3f-40-41-42

好了,这里我们就成功的将合约中的所有数据读取完成,现在大家应该都能得出一个结论:合约中的私有数据也是可以读取的。

修复建议

作为开发者

不要将任何敏感数据存放在合约中,因为合约中的任何数据都可被读取。

作为审计者

在审计过程中应当注意合约中是否存在敏感数据,例如:秘钥,游戏通关口令等。

引用:慢雾科技

Prev
2023-06-23 20:43:06 # 00.security
Next