月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 币安下载 > 正文

POS:漏洞随笔:通过Jet Protocol任意提款漏洞浅谈PDA与Anchor账号验证_DEP

作者:

时间:1900/1/1 0:00:00

据JetProtocol官方博客披露,他们近期修复了一个赏金漏洞,这个漏洞会导致恶意用户可以提取任意用户的存款资金,慢雾安全团队对此漏洞进行了简要分析,并将分析结果分享如下。

相关信息

JetProtocol是运行在Solana上的一个借贷市场,用户可将账号里的代币存入金库,赚取年化收益,同时也可以按一定的比例借出另一种代币。在这个过程中合约会给用户一个note凭证,作为用户未来的提款凭证,用我们熟悉的字眼来说就是LP,而本次漏洞发生的原因也和这个LP的设计有关。

我们知道和以太坊合约相比,Solana合约没有状态的概念,取而代之的是账号机制,合约数据都存储在相关联的账号中,这种机制极大提升了Solana的区块链性能,但也给合约编写带来了一些困难,最大的困难就是需要对输入的账号进行全面的验证。JetProtocol在开发时使用了Anchor框架进行开发,Anchor是由Solana上的知名项目Serum团队开发的,可以精简很多账号验证及跨合约调用逻辑。

DeBank钱包Rabby:Swap智能合约存在漏洞,建议尽快撤销Rabby Swap批准:10月11日消息,DeBank钱包Rabby发推称,其Rabby Swap智能合约存在漏洞,请用户撤销所有链上的Rabby Swap批准。目前团队正在解决问题。

此前据Supremacy安全团队监测,DeBank钱包Rabby的Swap Router疑似存在一个漏洞,可任意转移用户资产,建议尽快取消对Rabby的授权。攻击者地址为0xb687550842a24d7fbc6aad238fd7e0687ed59d55。[2022/10/11 10:31:18]

Anchor是如何工作的呢?我们可以从JetProtocol的一段代码说起:

programs/jet/src/instructions/init_deposit_account.rs

Poly Network:黑客利用了合约调用之间的漏洞:金色财经报道,Poly Network刚刚发推文称,经过初步调查,已找到漏洞的原因。 黑客利用了合约调用之间的一个漏洞,攻击不是由传闻中的单个保管人造成的。[2021/8/11 1:47:14]

这里的deposit_account账号就是用于存储LP代币数据的账号,用户在首次使用时,需要调用合约生成该账号,并支付一定的存储费用。

而这里的?#?宏定义限定了这个账号的生成规则:

规则1:#这个约束中,init是指通过跨合约调用系统合约创建账号并初始化,payer=depositor意思是depositor为新账号支付存储空间费用。

规则2:#这个约束中将检查给定帐户是否是当前执行程序派生的PDA,PDA(ProgramDerivedAddress)?账号是一个没有私钥、由程序派生的账号,seed和bump是生成种子,如果bump未提供,则Anchor框架默认使用canonicalbump,可以理解成自动赋予一个确定性的值。

动态 | Monero开发人员修复加密货币硬件钱包 Ledger的漏洞:Monero开发人员在reddit上发帖子称,已经修复了一个涉及加密货币硬件钱包 Ledger的一个漏洞,该补丁由Monero开发人员luigi1111和stoffu发布。据了解,该问题仅影响使用Ledger Nano S设备访问其XMR钱包的用户。[2019/4/9]

使用PDA,程序可以以编程方式对某些地址进行签名,而无需私钥。同时,PDA确保没有外部用户也可以为同一地址生成有效签名。这些地址是跨程序调用的基础,它允许Solana应用程序相互组合。这里用的是"deposits"字符+?reserve?账号公钥+?depositor?账号公钥作为?seeds,bump?则是在用户调用时传入。

规则3:#

这是一个SPL约束,用于更简便地验证SPL账号。这里指定deposit_account账号是一个token账号,它的mint权限是deposit_note_mint账号,authority权限是market_authority。

动态 | 美国交友平台OKCupid被曝存在系统漏洞:据TechCrunch报道,有用户投诉称,自己在美国交友平台OKCupid的帐户被黑客攻击。黑客更改了他的密码,导致他无法登录帐号。此外黑客还修改了资料中的电子邮件地址,使得他也无法重置自己的密码。OKCupid客服在回应投诉时表示:“不幸的是,我们无法提供任何未连接到你电子邮件地址的帐号的详情。”[2019/2/11]

Account的宏定义还有很多,这里略表不提,详细可以考虑文档:https://docs.rs/anchor-lang/latest/anchor_lang/derive.Accounts.html

有了这些前置知识,我们就可以直接来看漏洞代码:

programs/jet/src/instructions/withdraw_tokens.rs

动态 | 去中心化漏洞平台 DVP 一周已收 312 个漏洞:区块链安全公司 BCSEC 与 PeckShield 共同发起——去中心化漏洞平台 DVP 「安全链接计划」发布会。 自 7 月 24 日上线,一周以来已收到白帽子所提供的 312 个漏洞,涉及 175 个项目方,包括智能合约、交易所以及知名公链等一系列项目。具体来看所提交的漏洞中,高危漏洞达 122 个,占漏洞总数的 39.1%;中危漏洞 53 个,约占 17%。[2018/8/1]

正常情况下,用户调用函数withdraw_tokens提币时,会传入自己的LP账号,然后合约会销毁他的LP并返还相应数量的代币。但这里我们可以看到deposit_note_account账号是没有进行任何约束的,用户可以随意传入其他用户的LP账号。难道使用别人的LP账号不需要他们的签名授权吗?

通过前面分析宏定义代码,我们已经知道了market_authority账号拥有LP代币的操作权限,确实不需要用户自己的签名。那么market_authority又是一个怎么样的账号呢?我们可以看这里:

programs/jet/src/instructions/init_market.rs

这个market_authority也是一个PDA账号。也就是说合约通过自身的调用就可以销毁用户的LP代币。那么对于恶意用户来说,要发起攻击就很简单了,只要简单地把deposit_note_account账号设置为想要窃取的目标账号,withdraw_account账号设置为自己的收款账号,就可以销毁他的LP,并把他的存款本金提现到自己的账号上。

最后我们看一下官方的修复方法:

补丁中并未直接去约束deposit_note_account账号,而是去除了burn操作的PDA签名,并将authority权限改成了depositor,这样的话用户将无法直接调用这里的函数进行提现,而是要通过另一个函数withdraw()?去间接调用,而在withdraw()?函数中账号宏定义已经进行了严密的校验,恶意用户如果传入的是他人的LP账号,将无法通过宏规则的验证,将无法通过宏规则的验证,因为depositor需要满足signer签名校验,无法伪造成他人的账号。

programs/jet/src/instructions/withdraw.rs

总结

本次漏洞的发现过程比较有戏剧性,漏洞的发现人@charlieyouai在他的个人推特上分享了漏洞发现的心路历程,当时他发现burn的权限是market_authority,用户无法进行签名,认为这是一个bug,会导致调用失败且用户无法提款,于是给官方提交了一个赏金漏洞,然后就去吃饭睡觉打豆豆了。

而后官方开发者意识到了问题的严重性,严格地说,他们知道这段代码没有无法提现的漏洞,而是人人都可以提现啊,老铁,一个能良好运行的bug你知道意味着什么吗?!所幸的是没有攻击事件发生。

目前在Solana上发生过多起黑客攻击事件均与账号校验问题有关,慢雾安全团队提醒广大Solana开发者,注意对账号体系进行严密的审查。

标签:POSDEPODEPHORcpos币在哪个交易所DEPAYAnchor Protocol

币安下载热门资讯
GAS:金色观察|以太坊转PoS后 Gas费能降多少?_POS

gas费之争已经上演了很多年了,如今以太坊即将转为pos链,那最大的期待,就是gas费可以降到很低,为什么呢?因为pos的处理效率远大于pow,并且网络资源成本也足够低.

1900/1/1 0:00:00
NFT:KOLO.Market古典音乐NFT平台 任陈苇芬为艺术总监 曾为郎朗等艺术家开展跨界合作项目_FTX

3月23日消息,库客音乐(KUKE.US)投资孵化的古典音乐NFT平台KOLO.Market任命陈苇芬女士担任艺术总监.

1900/1/1 0:00:00
区块链:晚间必读5篇 | 谁是中国元宇宙第一城?_区块链TEC币有这种币吗

1.a16z:我们为什么投资LayerZero北京时间2022年3月31日,LayerZeroLabs宣布完成1.35亿美元A+轮融资,a16z、FTXVentures、红杉资本共同领投.

1900/1/1 0:00:00
区块链:盘点国内数字藏品平台乱象:你中了没?_NFT

自从3.15之后,数字藏品的平台雨后春笋般的涌出,目前NFT市场上平台已经泛滥了,整个藏品市场比3.15之前还要混乱,所以我决定对几个热门的平台做一个点评,夸一下好的平台,希望玩家们参与发财.

1900/1/1 0:00:00
ROB:在元宇宙购物可能比你想象的更有趣_MBLOX价格

本文由”老雅痞laoyapicom“授权转载信息来源自CNET,略有修改,作者QueenieWong古驰、戴森和其他大品牌正在试验沉浸式虚拟体验.

1900/1/1 0:00:00
WEB:Web3必修课之去中心化存储_WEB3

探究Web3路途中,去中心化的特征尤为明显。越来越多的市场要素逐渐从中心化掌控者手中剥离,以实现开源且公平的价值分配.

1900/1/1 0:00:00