以太坊智能合约安全之殇,深入解析重入攻击与状态修改陷阱

pragma solidity ^0.8.0;
contract VictimContract {
    mapping(address => uint) public balances;
    address public owner;
    constructor() {
        owner = msg.sender;
    }
    function deposit() public payable {
        balances[msg.sender] += msg.value;
    }
    function withdraw() public {
        uint amount = balances[msg.sender];
        require(amount > 0, "Insufficient balance");
        // 危险操作：先发送以太坊，再更新状态
        (bool success, ) = msg.sender.call{value: amount}("");
        require(success, "Transfer failed");
        // 如果在调用后发生重入，这里的状态更新可能被跳过或延迟
        balances[msg.sender] = 0;
    }
}

重入攻击流程：

1. 攻击者部署恶意合约AttackerContract，其fallback()或receive()函数会调用VictimContract的withdraw()。
2. 攻击者先在VictimContract中存入1 ETH。
3. AttackerContract调用VictimContract.withdraw()。
   • VictimContract的withdraw()获取amount（1 ETH）。
   • VictimContract执行msg.sender.call{value: amount}("")，即向AttackerContract发送1 ETH，此时VictimContract中攻击者余额仍为1 ETH。
   • 关键点： 在VictimContract的balances[msg.sender] = 0执行之前，AttackerContract的fallback()函数被触发。
4. AttackerContract的fallback()函数再次调用VictimContract.withdraw()。
   • 由于VictimContract中攻击者余额尚未被清零（仍为1 ETH），require(amount > 0)通过。
   • VictimContract再次向AttackerContract发送1 ETH。
   • 这个过程会重复多次,只要AttackerContract的fallback()能被持续触发，而VictimContract的balances[msg.sender] = 0从未有机会执行。
5. VictimContract的所有以太坊被转走，而攻击者的余额在合约中可能仍显示为1 ETH（或多次调用后的累计值，但状态更新逻辑已被破坏）。

状态修改的错误体现：

• 状态更新被延迟或跳过： 核心状态变量（如balances）的更新操作被放在了外部调用之后，导致在外部调用被恶意利用时，状态无法及时反映真实情况。
• 数据不一致： 合约记录的用户余额与实际资产不匹配，可能导致后续计算错误或权限问题。
• 重复执行副作用： 除了转账，任何在外部调用后才执行的状态修改逻辑都可能被重复执行，例如错误的权限授予、积分重复增加等。

如何防御重入攻击

防御重入攻击的核心思想是确保状态变量的更新在外部调用之前完成，或者使用能够有效阻止重入的机制。

1. 检查-效果-交互模式（Checks-Effects-Interactions Pattern）： 这是防御重入攻击最经典和有效的方法，将函数逻辑分为三部分：

   • Checks（检查）： 执行所有必要的条件检查（如require语句）。
   • Effects（效果）： 更新所有相关的状态变量。
   • Interactions（交互）： 与外部合约进行交互（如call、delegatecall）。

   修改后的withdraw()函数：

   function withdraw() public {
       uint amount = balances[msg.sender];
       require(amount > 0, "Insufficient balance");
       // Effects（效果）：先更新状态
       balances[msg.sender] = 0;
       // Interactions（交互）：后进行外部调用
       (bool success, ) = msg.sender.call{value: amount}("");
       require(success, "Transfer failed");
   }

   这样,即使在外部调用后发生重入，攻击者再次调用withdraw()时，balances[msg.sender]已经是0，require(amount > 0)会失败，从而阻止了重入。

2. 使用重入锁（Reentrancy Guard）： 可以使用一个修饰器（modifier）来确保函数在执行期间不会被重入。

   contract ReentrancyGuard {
       bool private locked = false;
       modifier nonReentrant() {
           require(!locked, "Reentrancy attack detected!");
           locked = true;
           _;
           locked = false;
       }
   }
   // 在 VictimContract 中继承 ReentrancyGuard 并使用修饰器
   contract VictimContract is ReentrancyGuard {
       // ... 其他代码 ...
       function withdraw() public nonReentrant {
           // ... 函数逻辑 ...
       }
   }

   当函数被调用时,locked被设为true，函数执行完毕后才设为false，在此期间，任何对该函数的重入尝试都会因为locked为true而被拒绝。

3. 使用内置的transfer()和send()（不推荐，仅作了解）： 在Solidity 0.8.0之前，transfer()和send()会自动限制2300 gas的转发，这通常不足以执行复杂的重入逻辑，但这种方法已被认为不够安全，且Solidity 0.8.0+中transfer()的行为有所调整，更推荐使用call.value()()并配合严格的gas限制或使用上述两种防御方法。

4. 避免在fallback/receive函数中修改状态或进行复杂操作： 如果合约的fallback或receive函数会被外部调用触发，应尽量保持其简洁，避免在这些函数中修改合约状态或调用其他可能被利用的函数。

重入攻击是以太坊智能合约安全领域一个持续存在的威胁,其本质在于对合约执行流程和状态更新时序的恶意利用，理解“检查-效果-交互”模式并熟练应用重入锁等防御措施，是每一位智能合约开发者必备的技能，在开发过程中，务必保持对状态修改顺序的警惕，进行充分的代码审计和测试，才能最大限度地保障