智能合約安全審計入門篇——訪問私有數據

慢雾科技｜2022-03-27 21:02

By：小白@慢霧安全團隊背景概述上次我們了解了solidity 中自帶的函數——自毀函數，相信大家多少已經對它有所了解，這次我們將了解如何訪問合約中的私有數據（private 數據）。前置知識我們先來了解一下solidity 中的三種數據存儲方式：1. storage（存儲）storage

By：小白@慢霧安全團隊

背景概述

上次我們了解了solidity 中自帶的函數——自毀函數，相信大家多少已經對它有所了解，這次我們將了解如何訪問合約中的私有數據（private 數據）。

前置知識

我們先來了解一下solidity 中的三種數據存儲方式：

1. storage（存儲）

storage 中的數據被永久存儲。其以鍵值對的形式存儲在slot 插槽中。 storage 中的數據會被寫在區塊鏈中（因此它們會更改狀態），這就是為什麼使用存儲非常昂貴的原因。佔用256 位插槽的gas 成本為20,000 gas。修改storage 的值將花費5,000 gas 。清理存儲插槽時（即將非零字節設置為零），將退還一定量的gas 。 storage 共有2^256 個插槽，每個插槽32 個字節數據按聲明順序依次存儲，數據將會從每個插槽的右邊開始存儲，如果相鄰變量適合單個32 字節，然後它們被打包到同一個插槽中否則將會啟用新的插槽來存儲。

（storage 的存儲方式圖）

storage 中的數組的存儲方式就比較獨特了，首先，solidity 中的數組分為兩種：

a.定長數組（長度固定）：

定長數組中的每個元素都會有一個獨立的插槽來存儲。以一個含有三個uint64 元素的定長數組為例，下圖可以清楚的看出其存儲方式：

（定長數組存儲方式圖）

b.變長數組（長度隨元素的數量而改變）：

變長數組的存儲方式就很奇特，在遇到變長數組時，會先啟用一個新的插槽slotA 用來存儲數組的長度，其數據存儲在另外的編號為slotV 的插槽中。 slotA 表示變長數組聲明的位置，用length 表示變長數組的長度，用slotV 表示變長數組數據存儲的位置，用value 表示變長數組某個數據的值，用index 表示value 對應的索引下標，則

length = sload(slotA)

slotV = keccak256(slotA) + index

value = sload(slotV)

變長數組在編譯期間無法知道數組的長度，沒辦法提前預留存儲空間，所以Solidity 就用slotA 位置存儲了變長數組的長度。

我們寫一個簡單的例子來驗證上面描述的變長數組的存儲方式：

pragma solidity ^0.8.0;contract haha{ uint[] user; function addUser(uint a) public returns (bytes memory){ user.push(a); return abi.encode(user); }}

部署這個合約後調用addUser 函數並傳入參數a = 998，debug 後可以看出變長數組的存儲方式：

其中第一個插槽為（這裡存儲的是變長數組的長度）：

0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e563

這個值等於：

sha3('0x0000000000000000000000000000000000000000000000000000000000000000')

key = 0 這是當前插槽的編號

value = 1 這說明變長數組user[] 中只有一條數據也就是數組長度為1 ;

第二個插槽為（這裡存儲的是變長數組中的數據）：

0x510e4e770828ddbf7f7b00ab00a9f6adaf81c0dc9cc85f1f8249c256942d61d9

這個值等於：

sha3('0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e563')

插槽編號為：

key=0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e563

這個值等於：

sha3('0x0000000000000000000000000000000000000000000000000000000000000000')+0

插槽中存儲的數據為：

value=0x00000000000000000000000000000000000000000000000000000000000003e6

也就是16 進製表示的998 ，也就是我們傳入的a 的值。

為了更準確的驗證我們再調用一次addUser 函數並傳入a=999 可以得到下面的結果：

這裡我們可以看到新的插槽為：

0x6c13d8c1c5df666ea9ca2a428504a3776c8ca01021c3a1524ca7d765f600979a

這個值等於：

sha3('0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e564')

插槽編號為： key=0x290decd9548b62a8d60345a988386fc84ba6bc95484008f6362f93160ef3e564

這個值等於：

sha3('0x0000000000000000000000000000000000000000000000000000000000000000')+1

插槽中的存儲數據為：

value=0x00000000000000000000000000000000000000000000000000000000000003e7

這個值就是16 進製表示的999 也就是我們剛剛調用addUser 函數傳入的a 的值。

通過上面的例子應該可以大致理解變長數組的存儲方式了。

2. memory（內存）

memory 是一個字節數組，其插槽大小為256 位（32 個字節）。數據僅在函數執行期間存儲，執行完之後，將會被刪除。它們不會保存到區塊鏈中。讀或寫一個字節（256 位）需要3 gas 。為了避免給礦工帶來太多工作，在進行22 次讀寫操作後，之後的讀寫成本開始上升。

3.calldata（調用數據）

calldata 是一個不可修改的，非持久性的區域，用於存儲函數參數，並且其行為基本上類似於memory。調用外部函數的參數需要calldata，也可用於其他變量。它避免了複製，並確保了數據不能被修改。帶有calldata 數據位置的數組和結構體也可以從函數中返回，但是不可以為這種類型賦值。

了解了solidity 中的三種存儲方式後我們再來了解一下合約中的四種可見性關鍵字：在solidity 中，有四種可見性關鍵字：external，public，internal 和private。默認時函數可見性為public。對狀態變量而言，除了不能用external 來定義，其它三個都可以來定義變量，狀態變量默認的可見性為internal。

1.external 關鍵字

external 定義的外部函數可以被其它合約調用。用external 修飾的外部函數function() 不能作為內部函數直接調用，也就是說function() 的調用方式必須用this.function() 。

2.public 關鍵字

public 定義的函數可以被內部函數或外部消息調用。對用public 定義的狀態變量，系統會自動生成一個getter 函數。

3.internal 用關鍵字

internal 定義的函數和狀態變量只能在（當前合約或當前合約派生的合約）內部進行訪問。

4.private 關鍵字

private 定義的函數和狀態變量只對定義它的合約可見，該合約派生的合約都不能調用和訪問該函數及狀態變量。

綜上可知，合約中修飾變量存儲的關鍵字僅僅限制了其調用的範圍，並沒有限制其是否可讀。所以我們今天就來帶大家了解如何讀取合約中的所有數據。

漏洞示例

這次我們的目標合約是部署在Ropsten 上的一個合約。

合約地址：

0x3505a02BCDFbb225988161a95528bfDb279faD6b

鏈接：

https://ropsten.etherscan.io/address/0x3505a02BCDFbb225988161a95528bfDb279faD6b#code

這裡我也給大家把合約源碼展示出來：

contract Vault { uint public count = 123; address public owner = msg.sender; bool public isTrue = true; uint16 public u16 = 31; bytes32 private password; uint public constant someConst = 123; bytes32[3] public data; struct User { uint id; bytes32 password; } User[] private users; mapping(uint => User) private idToUser; constructor(bytes32 _password) { password = _password; } function addUser(bytes32 _password) public { User memory user = User({id : users.length, password: _password}); users.push(user); idToUser[user.id] = user; } function getArrayLocation( uint slot, uint index, uint elementSize) public pure returns (uint) { return uint( keccak256(abi.encodePacked(slot))) + (index * elementSize); } function getMapLocation(uint slot, uint key) public pure returns (uint) { return uint(keccak256(abi.encodePacked(key, slot))); }}

漏洞分析

由上面的合約代碼我們可以看到，Vault 合約將用戶的用戶名和密碼這樣的敏感數據記錄在了合約中，由前置知識中我們可以了解到，合約中修飾變量的關鍵字僅限制其調用範圍，這也就間接證明了合約中的數據均是公開的，可任意讀取的，將敏感數據記錄在合約中是不安全的。

讀取數據

下面我們就帶大家來讀取這個合約中的數據。首先我們先看slot0 中的數據：

由合約中可以看到slot0 中只存儲了一個uint 類型的數據，我們讀取出來看一下：

我這裡使用Web3.py 取得數據

首先寫好程序

運行後得到

我們使用進制轉換器轉換一下

這裡我們就成功的去到了合約中的第一個插槽slot0 中存儲的uint 類型的變量count=123 ，下面我們繼續：

slot1 中存儲三個變量：u16, isTrue, owner

從右往左依次為

owner = f36467c4e023c355026066b8dc51456e7b791d99

isTrue = 01 = true

u16 = 1f = 31

slot2 中就存儲著私有變量password 我們讀取看看

slot 3, 4, 5 中存儲著定長數組中的三個元素

slot6 中存儲著變長數組的長度

我們從合約代碼中可以看到用戶的id 和password 是由鍵值對的形式存儲的，下面我們來讀取兩個用戶的id 和password：

user1

user2

好了，這裡我們就成功的將合約中的所有數據讀取完成，現在大家應該都能得出一個結論：合約中的私有數據也是可以讀取的。

修復建議

（1）作為開發者

不要將任何敏感數據存放在合約中，因為合約中的任何數據都可被讀取。

（2）作為審計者

在審計過程中應當注意合約中是否存在敏感數據，例如：秘鑰，遊戲通關口令等。

參考文獻

本期講解的知識有點偏底層，可以參考以下文章幫助你更好地理解：

https://solidity-by-example.org/hacks/accessing-private-data/

《跟我學Solidity : 變量的存儲》https://learnblockchain.cn/article/1759《快速入門——web3.py》https://web3py.readthedocs.io/《狀態變量、函數的權限》https: //blog.csdn.net/liyuechun520/article/details/78408608