前言
随着ETH升级PoS共识系统,原有的PoW机制的ETH链在部分社区的支持下成功硬分叉。但是,由于某些链上协议在设计之初没有对可能的硬分叉做好准备,导致对应的协议在ETHW分叉链存在一定的安全隐患,其中最为严重的安全隐患则是重放攻击。在完成硬分叉后,ETHW主网出现了至少2起利用重放机制进行的攻击,分别是OmniBridge的重放攻击和PolygonBridge的重放攻击。本文将以这两个事件作为案例,分别分析重放攻击对分叉链的影响,以及协议应如何防范此类攻击。重放的类型
首先,在开始分析之前,我们需要先对重放攻击的类型做一个初步的了解,一般而言,我们对重放攻击分成两类,分别是交易重放和签名消息重放。下面,我们来分别说下这两类重放机制的区别交易重放
交易重放指的是将在原有链的交易原封不动的迁移到目标链的操作,属于是交易层面上的重放,重放过后交易也是可以正常执行并完成交易验证。最著名的案例莫过于Wintermute在Optimism上的攻击事件,直接导致了超2000万OP代币的损失。但是在EIP155实施以后,由于交易的签名本身带有chainId(一种用于链本身区别与其他分叉链的标识符),在重放的目标链chainId不同的情况下,交易本身是无法完成重放的。签名消息重放
Cobie:Alameda的清算人清算了一个他们本可以偿还的Aave头寸:金色财经报道,加密KOL Cobie在社交媒体上称,看着Alameda的清算人尝试使用以太坊是如此痛苦。他们清算了一个他们本可以偿还的Aave头寸,他们在gas上的花费比他们扫除的名义美元要多,他们一直在试图移动锁定的代币。[2023/1/14 11:11:47]
签名消息重放区别于交易重放,是针对的用私钥签名的消息(e
在这个函数中,首先会根据#L2行的签名检查来确定提交的签名是不是由指定的validator进行签名,然后再在#L11行对data消息进行解码。从解码内容上看,不难发现,返回字段中包含了chainId字段,那么是不是说明无法进行签名消息重放呢?我们继续分析。function_executeMessage(bytes32msgId,addresssender,addressexecutor,uint32gasLimit,uint8dataType,uint256memorychainIds,bytesmemorydata)internal{require(_isMessageVersionValid(msgId));require(_isDestinationChainIdValid(chainIds));require(!relayedMessages(msgId));setRelayedMessages(msgId,true);processMessage(sender,executor,msgId,gasLimit,dataType,chainIds,data);}通过追查_executeMessage函数,发现函数在#L11行对chaindId进行了合法性的检查function_isDestinationChainIdValid(uint256_chainId)internalreturns(boolres){return_chainId==sourceChainId();}functionsourceChainId()publicviewreturns(uint256){returnuintStorage;}通过继续分析后续的函数逻辑,不难发现其实针对chainId的检查其实并没有使用evm原生的chainId操作码来获取链本身的chainId,而是直接使用存储在uintStorage变量中的值,那这个值很明显是管理员设置进去的,所以可以认为消息本身并不带有链标识,那么理论上就是可以进行签名消息重放的。由于在硬分叉过程中,分叉前的所有状态在两条链上都会原封不动的保留,在后续xDAI团队没有额外操作的情况下。分叉后ETHW和ETH主网上OmniBridge合约的状态是不会有变化的,也就是说合约的validator也是不会有变化的。根据这一个情况,我们就能推断出validator在主网上的签名也是可以在ETHW上完成验证的。那么,由于签名消息本身不包含chainId,攻击者就可以利用签名重放,在ETHW上提取同一个合约的资产。PolygonBridge
Cobo联合创始人:Merkle Tree储备证明方法存在缺陷,建议通过MPC-TSS方案改进:11月18日消息,Cobo联合创始人兼CTO蒋长浩发文表示,Merkle Tree储备证明方法存在一些基本缺陷,具体来说,中心化机构很容易通过一些路径绕过这种储备证明方法希望实现的无挪用检查,如使用借贷资金通过审计或使用借贷资金通过审计。同时建议可通过“抽查式随机审计”和“用MPC-TSS方案加速储备证明”两个方法改进,既可防止审计期间储备证明被伪造,又不以泄露用户信息为代价。[2022/11/18 13:22:02]
和OmniBridge一样,PolygonBridge是用于在Polygon和ETH主网进行资产转移的桥。与OmniBridge不同,PolygonBridge依赖区块证明进行提款,逻辑如下:functionexit(bytescalldatainputData)externaloverride{//...省略不重要逻辑//verifyreceiptinclusionrequire(MerklePatriciaProof
动态 | 莱特币基金会与Cobo合作推出加密平板电脑:据coingape报道,莱特币基金会与Cobo合作推出了加密平板电脑。 莱特币的品牌标志将被刻在平板电脑的顶部。该平板电脑可用于保护开源钱包的恢复短语。[2019/5/4]
通过函数逻辑,不难发现合约通过2个检查确定消息的合法性,分别是通过检查transactionRoot和BlockNumber来确保交易真实发生在子链(PloygonChain),第一个检查其实可以绕过,因为任何人都可以通过交易数据来构造属于自己的transactionRoot,但是第二个检查是无法绕过的,因为通过查看_checkBlockMembershipInCheckpoint逻辑可以发现:function_checkBlockMembershipInCheckpoint(uint256blockNumber,uint256blockTime,bytes32txRoot,bytes32receiptRoot,uint256headerNumber,bytesmemoryblockProof)privateviewreturns(uint256){(bytes32headerRoot,uint256startBlock,,uint256createdAt,)=_checkpointManager
声音 | Cobra:极端主义者是比特币应用的最大威胁:比特币官方论坛Bitcoin.org持有人眼镜蛇Cobra在推特上发文称,极端主义者是比特币应用的最大威胁。他指出:“他们把有理性的人吓跑,害社区,宣传从不使用比特币,用荒谬的价格预测来让人发疯,并试图破坏正努力引入用户的公司的声誉。”[2019/1/3]
对应的headerRoot是从_checkpointManager合约中提取的,顺着这个逻辑我们查看_checkpointManager设置headerRoot的地方functionsubmitCheckpoint(bytescalldatadata,uintcalldatasigs)external{(addressproposer,uint256start,uint256end,bytes32rootHash,bytes32accountHash,uint256_borChainID)=abi
此变量最早在EIP712中定义,该变量中含有chainId,在设计之初就包含可能的多链场景的重放预防,但是根据uniswapV2pool合约的逻辑,如下:constructor()public{uintchainId;assembly{chainId:=chainid}DOMAIN_SEPARATOR=keccak256(abi
声音 | 眼镜蛇Cobra:比特币的一个核心漏洞刚刚被修复:眼镜蛇Cobra在其个人社交媒体表示:“比特币核心钱包的一个可怕的漏洞刚刚被修复,如果被任何‘流氓’矿工利用,这个漏洞可能会导致比特币网络的大量崩溃。”[2018/9/19]
DOMAIN_SEPARATOR在构造函数中已经定义好,也就是说在硬分叉后,就算链本身的chainId已经改变,pool合约也无法获取到新的chianId来更新DOMAIN_SEPARATOR,如果未来用户在ETHW上进行相关授权,那么ETHW上的permit签名授权可以被重放到ETH主网上。除了Uniswap外,类似的协议还有很多,比如特定版本下的yearnvault合约,同样也是采用了固定DOMAIN_SEPARATOR的情况。用户在ETHW上交互的时候也需要防范此类协议的重放风险。协议设计之初的防范措施
对于开发者而言,在为协议本身定制消息签名机制的时候,应该考虑后续可能的多链场景,如果路线图中存在多链部署的可能,应该把chainId作为变量加入到签名消息中,同时,在验证签名的时候,由于硬分叉不会改变分叉前的任何状态,用于验证签名消息的chainId不应该设置为合约变量,而应该在每次验证前重新获取,然后进行验签,保证安全性。影响
对用户的影响
普通在协议不支持分叉链的情况下,应尽量不在分叉链上进行任何操作,防止对应的签名消息重放到主网上,造成用户在主网上损失资产对交易所和托管机构的影响
由于很多交易所本身都支持了ETHW代币,所以这些由于攻击而提取出来的代币都有可能充值到交易所中进行抛售,但需要注意的是,此类攻击并不是链共识本身的问题而导致的恶意增发,所以对交易所而言,此类攻击无需进行额外的防范总结
随着多链场景的发展,重放攻击从理论层面逐步变成主流的攻击方式,开发者应当仔细考量协议设计,在进行消息签名机制的设计时,尽可能的加入chainId等因子作为签名内容,并遵循相关的最佳实践,防止用户资产的损失。
标签:AINCHAHAIChainBRAIN价格Cross Chain FinanceE-Shop Chainworldgenechain
头条WintermuteCEO:若黑客返还1.6亿美元被盗资产,将支付10%赏金Odaily星球日报讯据官方推特,加密做市商Wintermute创始人EvgenyGaevoy宣布.
1900/1/1 0:00:00头条Coinbase:购买加密货币用于公司运营等目的,并不认为其是自营交易Odaily星球日报讯针对华尔街日报的报道,Coinbase回应表示,Coinbase不经营自营交易业务或充当做市商.
1900/1/1 0:00:00十月份是股市暴跌的月份,也是终结熊市的月份,让我们看一下历史上的「十月份」。大多数人记得1987美国股灾是最著名的崩盘。1987年的10月19日是个刻骨铭心的时间点,也是代际的低谷.
1900/1/1 0:00:00LayerZero技术简析LayerZero是一个跨链通讯协议,可以将一条链上的"信息"传递到另一条链.
1900/1/1 0:00:00合并大大降低了普通人进入以太坊世界的门槛。你不需要在硬件和电费上花数百万美元,所需要的只是一台笔记本电脑和一些ETH.
1900/1/1 0:00:00在哥伦比亚波哥大举行的第一届Arbitrum黑客马拉松已经正式落下帷幕,以下是赢得Arbitrum赛道和合作伙伴奖励的所有团队的完整阵容.
1900/1/1 0:00:00