什麼是智能合同中的重新攻擊？

了解智能合約的基礎知識

智能合約是一份自執行的合同，其條款直接寫入代碼中。它在以太坊等區塊鏈平台上運行，並自動執行沒有中介機構的各方之間的協議。這些合同一旦部署後都是不可變的，這意味著代碼中存在的任何漏洞都無法改變驅逐後。這種不變性使得確保智能合約在上線之前可以免受所有可能的漏洞的安全至關重要。

這樣的利用之一是重新進入攻擊，該攻擊造成了加密貨幣生態系統中的重大損失。了解這種漏洞的工作方式需要掌握智能合約如何通過功能調用與外部帳戶和其他合同相互作用。

什麼是重新進入攻擊？

當惡意合同在初始執行完成之前反複調用另一個合同中的脆弱功能時，會發生重新攻擊。這種遞歸行為可以以意想不到的方式流失資金或操縱狀態變量。

經典的示例涉及合同處理以太轉移。如果功能在更新其內部餘額之前將以太發送到外部地址，則惡意合同可以在轉移期間重新輸入該功能，並反复流失合同的資金。 2016年臭名昭著的DAO駭客導致了6000萬美元的以太損失，這是由於重新進入的結果。

重新進入攻擊如何在實踐中起作用？

為了更好地理解重新進入攻擊的機制，請考慮以下簡化方案：

• 合同具有withdraw()功能，允許用戶撤回其沉積以太。
• 該函數首先使用call.value()將以太發送給用戶，然後將用戶的餘額更新為零。
• 惡意合同將自己註冊為用戶，並將以太存入目標合同。
• 當它調用withdraw()時，目標合同會啟動以太轉移。
• 在轉移期間，惡意合同的後備功能（會自動觸發）再次呼叫withdraw() 。
• 由於餘額尚未更新，因此合同認為用戶仍然有可用的資金並發送更多的以太。
• 該循環一直持續到合同耗盡或氣體用完為止。

此過程利用合同中的操作順序 - 特別是在更新狀態之前發送以太。

重新輸入漏洞的類型

重新進入攻擊有幾種形式，每種攻擊都利用合同邏輯的不同方面：

• 單功能重新輸入：當單個函數包含外部呼叫和狀態更改時，就會發生這種情況。攻擊者在更新狀態之前在外部呼叫期間觸發重新進入。
• 跨功能重新輸入：在這裡，多個功能共享狀​​態變量。攻擊者可以在第一個仍在執行時重新輸入第二個功能，從而不一致地操縱共享數據。
• 授權重新輸入：此高級變體使用delegatecall機制在另一個合同中執行代碼。如果不仔細處理，這可能會導致意外的重新進入場景。

每種類型都需要仔細的審核和特定的緩解策略，以防止剝削。

如何防止重新進入攻擊

防止重新進入攻擊涉及在合同設計和利用安全工具方面採用最佳實踐：

• 使用檢查效應 - 交互模式：在撥打任何外部呼叫之前，請務必更新合同的狀態。這樣可以確保沒有重新進入可以操縱現有的平衡或州。
• 實施重新進入警衛：諸如OpenZeppelin之類的庫提供了重新輸入後衛修飾符，該修飾符使用MUTEX變量阻止重新進入呼叫。
• 避免複雜的外部呼叫：最大程度地減少與未知或未經信任合同的互動。在必要時，請確保回調是安全的，並且不要觸發任意代碼。
• 使用推拉付款：而不是將資金推向用戶，而是讓他們啟動提款。這降低了遞歸排水的風險。
• 進行詳盡的審核：使用自動化工具和手動審查來檢測代碼庫中潛在的重新輸入矢量。

通過採用這些策略，開發人員可以大大減少成功重新進入攻擊的可能性。

真實世界的重新輸入示例

幾起備受矚目的事件強調了重新進入攻擊的毀滅性影響：

• DAO HACK（2016） ：最著名的案件涉及一個分散的自治組織，其智能合同允許遞歸提款。攻擊者利用了這一點，以耗盡數百萬美元的乙醚。
• Fusion網絡攻擊（2021年） ：黑客在協議中利用了一個跨功能重新輸入錯誤，導致了1400萬美元的損失。
• Warp Finance Hack（2021） ：在不同職能上利用了多個重新入侵點，使攻擊者能夠耗盡近800萬美元的資產。

這些示例強調了嚴格的測試和遵守對確保編碼實踐的重要性。

常見問題

問：在非埃塞姆區塊鏈中可以重新進入攻擊嗎？是的，重新輸入攻擊會影響任何以外部呼叫和可變狀態支持智能合約的區塊鏈平台。儘管以太坊已經看到了最突出的案例，但二元智能鏈，Solana等人也存在類似的漏洞。

問：所有外部電話都危險嗎？不，但是應該謹慎對待外部呼叫。在更新臨界狀態變量之前製造時會出現危險。正確的編碼模式和保障措施可以減輕這種風險。

問：如何測試我的重新進入漏洞的合同？您可以使用靜態分析工具，例如Slither或Secrefify，執行手動代碼審核，並使用Brownie或Hardhat等框架模擬攻擊方案。使用重新進入警衛並遵循安全的開發實踐也有幫助。

問：Flash貸款攻擊與重新進入攻擊之間有什麼區別？儘管兩者都可以利用Defi協議，但Flash貸款攻擊依賴於借用大量資本而無需抵押並將其償還在同一交易中。重新入侵的重點是遞歸呼籲操縱合同狀態的職能。但是，有些攻擊結合了兩種技術，以增加影響。