什么是智能合同中的重新攻击？

了解智能合约的基础知识

智能合约是一份自执行的合同，其条款直接写入代码中。它在以太坊等区块链平台上运行，并自动执行没有中介机构的各方之间的协议。这些合同一旦部署后都是不可变的，这意味着代码中存在的任何漏洞都无法改变驱逐后。这种不变性使得确保智能合约在上线之前可以免受所有可能的漏洞的安全至关重要。

这样的利用之一是重新进入攻击，该攻击造成了加密货币生态系统中的重大损失。了解这种漏洞的工作方式需要掌握智能合约如何通过功能调用与外部帐户和其他合同相互作用。

什么是重新进入攻击？

当恶意合同在初始执行完成之前反复调用另一个合同中的脆弱功能时，会发生重新攻击。这种递归行为可以以意想不到的方式流失资金或操纵状态变量。

经典的示例涉及合同处理以太转移。如果功能在更新其内部余额之前将以太发送到外部地址，则恶意合同可以在转移期间重新输入该功能，并反复流失合同的资金。 2016年臭名昭著的DAO骇客导致了6000万美元的以太损失，这是由于重新进入的结果。

重新进入攻击如何在实践中起作用？

为了更好地理解重新进入攻击的机制，请考虑以下简化方案：

• 合同具有withdraw()功能，允许用户撤回其沉积以太。
• 该函数首先使用call.value()将以太发送给用户，然后将用户的余额更新为零。
• 恶意合同将自己注册为用户，并将以太存入目标合同。
• 当它调用withdraw()时，目标合同会启动以太转移。
• 在转移期间，恶意合同的后备功能（会自动触发）再次呼叫withdraw() 。
• 由于余额尚未更新，因此合同认为用户仍然有可用的资金并发送更多的以太。
• 该循环一直持续到合同耗尽或气体用完为止。

此过程利用合同中的操作顺序 - 特别是在更新状态之前发送以太。

重新输入漏洞的类型

重新进入攻击有几种形式，每种攻击都利用合同逻辑的不同方面：

• 单功能重新输入：当单个函数包含外部呼叫和状态更改时，就会发生这种情况。攻击者在更新状态之前在外部呼叫期间触发重新进入。
• 跨功能重新输入：在这里，多个功能共享状​​态变量。攻击者可以在第一个仍在执行时重新输入第二个功能，从而不一致地操纵共享数据。
• 授权重新输入：此高级变体使用delegatecall机制在另一个合同中执行代码。如果不仔细处理，这可能会导致意外的重新进入场景。

每种类型都需要仔细的审核和特定的缓解策略，以防止剥削。

如何防止重新进入攻击

防止重新进入攻击涉及在合同设计和利用安全工具方面采用最佳实践：

• 使用检查效应 - 交互模式：在拨打任何外部呼叫之前，请务必更新合同的状态。这样可以确保没有重新进入可以操纵现有的平衡或州。
• 实施重新进入警卫：诸如OpenZeppelin之类的库提供了重新输入后卫修饰符，该修饰符使用MUTEX变量阻止重新进入呼叫。
• 避免复杂的外部呼叫：最大程度地减少与未知或未经信任合同的互动。在必要时，请确保回调是安全的，并且不要触发任意代码。
• 使用推拉付款：而不是将资金推向用户，而是让他们启动提款。这降低了递归排水的风险。
• 进行详尽的审核：使用自动化工具和手动审查来检测代码库中潜在的重新输入矢量。

通过采用这些策略，开发人员可以大大减少成功重新进入攻击的可能性。

真实世界的重新输入示例

几起备受瞩目的事件强调了重新进入攻击的毁灭性影响：

• DAO HACK（2016） ：最著名的案件涉及一个分散的自治组织，其智能合同允许递归提款。攻击者利用了这一点，以耗尽数百万美元的乙醚。
• Fusion网络攻击（2021年） ：黑客在协议中利用了一个跨功能重新输入错误，导致了1400万美元的损失。
• Warp Finance Hack（2021） ：在不同职能上利用了多个重新入侵点，使攻击者能够耗尽近800万美元的资产。

这些示例强调了严格的测试和遵守对确保编码实践的重要性。

常见问题

问：在非埃塞姆区块链中可以重新进入攻击吗？是的，重新输入攻击会影响任何以外部呼叫和可变状态支持智能合约的区块链平台。尽管以太坊已经看到了最突出的案例，但二元智能链，Solana等人也存在类似的漏洞。

问：所有外部电话都危险吗？不，但是应该谨慎对待外部呼叫。在更新临界状态变量之前制造时会出现危险。正确的编码模式和保障措施可以减轻这种风险。

问：如何测试我的重新进入漏洞的合同？您可以使用静态分析工具，例如Slither或Secrefify，执行手动代码审核，并使用Brownie或Hardhat等框架模拟攻击方案。使用重新进入警卫并遵循安全的开发实践也有帮助。

问：Flash贷款攻击与重新进入攻击之间有什么区别？尽管两者都可以利用Defi协议，但Flash贷款攻击依赖于借用大量资本而无需抵押并将其偿还在同一交易中。重新入侵的重点是递归呼吁操纵合同状态的职能。但是，有些攻击结合了两种技术，以增加影响。