别再复制Compound的代码了

22-03-24 16:37
阅读本文需 7 分钟
总结 AI 总结
看总结 收起
原文标题:《别再复制 Compound 的代码了》
原文作者:Jackson[1]


前段时间看 Compound[2] 的代码,发现两个可能影响资金安全的漏洞。


漏洞一


发现 Compound 的一个严重漏洞[3]


这个漏洞的主要原因是 Compound 采用的这种资金池净值的算法可以被攻击,攻击者可以在资金池份额很小时,恶意转入一定量资金导致净值达到一个极大的值,从而让后面存入资金时,份额=资金/份额,整除后结果为 0,也就是说用户存入资金确得不到份额!然后攻击者就可以取回份额,盗走用户的资金。


这个漏洞的利用条件比较苛刻,基本上只有在创建资金池的时候才有攻击的可能,但是,对于合约这种极其关键的东西,应该严谨对待,不能因为难以利用就置之不理,特别是这个漏洞要堵上是非常简单的。


因此给 Compound 的漏洞赏金计划邮箱发了一封邮件,告知了这个问题,但是至今没有收到回复。


担心是邮件没有收到,我又联系了 CertiK,希望通过他们来联系上 Compound,但是当 CertiK 表示这个漏洞他们已经知道了,并说这个漏洞很难被利用,可以通过运营手段规避。想想确实是这样,这个漏洞虽然可能被利用,但是难以被利用,不必大惊小怪。


漏洞二


发现 Compound 的第二个严重漏洞[4]


这个漏洞则似曾相识,基本逻辑还是回调、重入,但是漏洞确比第一个更加严重,而且也容易被利用一些,只要有带钩子的 Token,就可以攻击!


于是我第一时间联系 CertiK,然后他们的回复依然是,这个漏洞他们已经发现了!


这次我就不是很理解了,后果如此严重,又比较容易被利用的漏洞,为什么被大家发现了还能够存在?而且堵上这个漏洞只需要调换一下两句代码的顺序就可以了,这样简单却能解决大问题的事情,却没有人做?难道仅仅是因为 Compound 没有带钩子的 Token?


这让我对漏洞的认知产生了怀疑!第一次在本站发布这个漏洞后没多久,觉得内容比较敏感,我就把主要内容都删除了。


漏洞终于被利用


然而,漏洞还是被利用了。March-15-2022 06:28:40 PM +8 UTC,Hundred Finance 遭受攻击,黑客获利 2363 ETH,总价值超过 4000 万人民币。Hundred Finance 代码源自 Compound。利用的漏洞和上文中的第二个思路相同。事实上,黑客可以更狠一些,攻击的时候同时调用 exitMarket() 退出借贷市场,从而攻击者赎回、借款时,欠款会被全部忽略!


反思


通过这段时间对 Compound 代码的阅读,以及关于漏洞的沟通过程,都让我比较吃惊,他们对于漏洞的态度竟然如此漠然!是什么原因导致了这样的局面,Compound,审计公司分别是如何考虑的?无从知晓。


这或许就是币圈基本上过几天就要发生一起攻击事件的主要原因!


代码是别人的,但是复制过来后,漏洞却是需要自己承受的,如此局面下,我们能够做的,就是严谨对待自己的项目和代码,因为出了问题后,Compound 和审计公司都不会为你负责,可能还觉得你活该!


参考资料


[1]jackson: https://learnblockchain.cn/people/245
[2]Compound: https://learnblockchain.cn/article/3167
[3] 发现 Compound 的一个严重漏洞 | 登链社区 | 深入浅出区块链技术: https://learnblockchain.cn/article/3591
[4] 发现 Compound 的第二个严重漏洞 | 登链社区 | 深入浅出区块链技术: https://learnblockchain.cn/article/3724


原文链接


欢迎加入律动 BlockBeats 官方社群:

Telegram 订阅群:https://t.me/theblockbeats

Telegram 交流群:https://t.me/BlockBeats_App

Twitter 官方账号:https://twitter.com/BlockBeatsAsia

举报 纠错/举报
本平台现已全面集成Farcaster协议, 如果您已有Farcaster账户, 可以登录 后发表评论
选择文库
新增文库
取消
完成
新增文库
仅自己可见
公开
保存
纠错/举报
提交