作者：Immunefi. 编译：Coinitme.com QDD

简介

由区块链技术驱动的智能合约通过提供去中心化和自动化功能，给各行各业带来了革命性的变化。然而，它们也为去中心化应用程序的运行和设计带来了新型安全挑战。

在本文中，我们将探讨十大最常见的智能合约漏洞，开发人员和审计人员应了解这些漏洞，以便构建安全稳健的智能合约。

注：通过 Immunefi 提交的大多数项目和漏洞都使用了基于 EVM 的区块链。因此，本文将重点介绍这些技术。不过，这些分类是通用的，可扩展到任何区块链技术。上榜的漏洞是通过分析 2023 年第一季度的黑客攻击和历史漏洞修复审查文章（详细说明通过 Immunefi 提交和付费的漏洞）共同确定的。

漏洞

V01:2023 输入验证不当

概述

不正确的输入验证是通过 Immunefi 提交的大量已确认漏洞报告以及野外漏洞利用的主要根源。输入验证是一项重要的安全实践，涉及验证输入系统的数据的完整性、准确性和安全性。如果不能正确验证输入，攻击者就有可能利用漏洞并操纵系统行为。

说明

当智能合约未能对用户输入进行充分验证和消毒时，就会出现输入验证不当的问题，使其容易受到各种类型的攻击。这类漏洞可被利用来操纵合约逻辑、注入恶意数据或导致意外行为。正确的输入验证可确保合约只处理有效和预期的数据，从而降低被利用的风险。

预防措施

为防止此类漏洞，开发人员应实施全面的输入验证例程。这包括验证数据类型、检查边界条件以及对用户输入进行消毒，以防止意外情况发生。必须考虑所有可能的输入情况，包括边缘情况和意外输入，以确保稳健的输入验证。模糊处理或符号执行等一些工具和技术可以帮助开发人员防止遗漏边缘情况。这些工具可以帮助开发人员测试各种输入，确保恶意输入不会破坏智能合约的不变式或执行。

实例

Beanstalk Logic Error Bugfix Review 展示了一个缺失输入验证漏洞的示例。Beanstalk Token Facet合约在transferTokenFrom()函数中存在一个漏洞，即在外部模式传输过程中，msg.sender的津贴未得到正确验证。该漏洞允许攻击者从之前已批准 Beanstalk 合约的受害者账户中转移资金。

参考资料：

l  https://medium.com/immunefi/sovryn-loan-vulnerability-postmortem-ffaf4d1d688f

l  https://medium.com/immunefi/zapper-arbitrary-call-data-bug-fix-postmortem-d75a4a076ae9

l  https://medium.com/immunefi/cream-finance-insufficient-validation-bug-fix-postmortem-1ec7248e8865

l  https://medium.com/immunefi/pancakeswap-logic-error-bug-fix-postmortem-f2d02adb6983

l  https://medium.com/immunefi/mcdex-insufficient-validation-bug-fix-postmortem-182fc6cab899

l  https://medium.com/immunefi/polygon-lack-of-balance-check-bugfix-postmortem-2-2m-bounty-64ec66c24c7d

l  https://medium.com/immunefi/notional-double-counting-free-collateral-bugfix-review-28b634903934

l  https://medium.com/immunefi/port-finance-logic-error-bugfix-review-29767aced446

l  https://medium.com/immunefi/aurora-withdrawal-logic-error-bugfix-review-c5b4e30a9160

l  https://medium.com/immunefi/aurora-improper-input-sanitization-bugfix-review-a9376dac046f

l  https://medium.com/immunefi/mt-pelerin-double-transaction-bugfix-review-503838db3d70

l  https://medium.com/immunefi/balancer-logic-error-bugfix-review-74f5edca8b1a

l  https://medium.com/immunefi/beanstalk-logic-error-bugfix-review-4fea17478716

l  https://medium.com/immunefi/hack-analysis-platypus-finance-february-2023-d11fce37d861

V02:2023 错误的计算

概述

在我们在 Immunefi 上看到的确认错误报告中，不准确的计算紧随其后。

智能合约中不正确或不一致的计算会导致意想不到的后果，如不准确的代币余额、不正确的奖励分配或合约执行过程中的意外结果。不正确的计算通常与未充分开发的代码路径相匹配，并且与不正确的输入验证漏洞密切相关。然而，不正确计算涉及的漏洞是，用户本应能够执行某些操作，但由于计算错误，用户可能从该操作中获得比预期多得多的价值。

说明

在智能合约中，如果执行的数学计算不正确，就会出现计算错误，导致意外或不正确的结果。产生这些漏洞的原因有很多，例如对精度、数值范围的不正确假设，或合约不同部分的计算不一致。当合同未考虑边缘情况或未正确处理角落情况时，也会出现不正确的计算。在某些情况下，合约可能不会考虑极端值，或无法处理溢出或溢出不足，从而导致意外行为或安全风险。攻击者可以利用这些漏洞在合约中操纵计算或获得未经授权的优势。适当的数学精度和仔细考虑角情况对防止此类漏洞至关重要。

预防措施

单元测试以及模糊处理或符号执行有助于防止遗漏的边缘情况潜入代码库。此外，对数学公式进行形式验证有助于为可能存在的状态提供保证。使用区块链平台提供的经过良好测试的安全数学库或内置函数来准确执行计算。这些库通常具有内置保护功能，可防止常见的计算错误，如溢出或下溢。

示例

88MPH 偷窃无人认领的 MPH 奖励 Bugfix Review 演示了一个计算错误的案例，在该案例中，MPH 奖励是以不正确的 rewardPerToken 计算的，攻击者可以完全耗尽归属合约中无人认领的 MPH 奖励。

参考资料：

l  https://medium.com/immunefi/armorfi-bug-bounty-postmortem-cf46eb650b38

l  https://medium.com/immunefi/vesper-rebase-vulnerability-postmortem-and-bug-bounty-55354a49d184

l  https://medium.com/immunefi/pods-finance-bug-fix-postmortem-61a576897ebd

l  https://medium.com/immunefi/tidal-finance-logic-error-bug-fix-postmortem-3607d8b7ed1f

l  https://medium.com/immunefi/belt-finance-logic-error-bug-fix-postmortem-39308a158291

l  https://medium.com/immunefi/cronos-theft-of-transactions-fees-bugfix-postmortem-b33f941b9570

l  https://medium.com/immunefi/apwine-incorrect-check-of-delegations-bugfix-review-7e401a49c04f

l  https://medium.com/immunefi/polygon-consensus-bypass-bugfix-review-7076ce5047fe

l  https://medium.com/immunefi/synthetix-logic-error-bugfix-review-40da0ead5f4f

l  https://medium.com/immunefi/building-a-poc-for-the-uranium-heist-ec83fbd83e9f

l  https://medium.com/immunefi/hack-analysis-saddle-finance-april-2022-f2bcb119f38

l  https://medium.com/immunefi/88mph-theft-of-unclaimed-mph-rewards-bugfix-review-1dec98b9956b

V03:2023 Oracle/价格操纵

概述

智能合约通常依赖外部数据源（称为oracles）来做出明智决策。如果这些谕令遭到破坏或操纵，可能会导致掉期定价不正确、奖励计算不当、借入的资产超过抵押率允许的范围，或其他与金融交易有关的一般问题。操纵这些外部数据源是链上出现 DeFi 漏洞的主要原因之一。选择可信赖的甲骨文并实施安全的数据验证机制，对于降低甲骨文/价格操纵的相关风险至关重要。

说明

由于许多协议都是根据用户操作更新资产定价的，这可能是一个显而易见但容易被忽视的漏洞，因为预计价格会根据用户交互进行更新。然而，当协议依赖于这些内部或外部定价机制时，应仔细考虑以确保现货价格不会被滥用。是否能有效执行价格操纵也在很大程度上取决于当前的链上条件。与流动性较高的资金池相比，流动性较低的资金池被操纵的风险更高。谨慎选择可信的代币并实施安全的数据验证机制至关重要。静态检查、平均定价机制和只读重入保护可能是实现外部定价机制稳健整合的重要功能。数据源的多样化还可以防止单一协议中的漏洞对整个区块链生态系统造成破坏。

预防措施

为防止甲骨文/价格操纵漏洞，开发人员应谨慎选择具有良好记录的可信甲骨文。实施安全的数据验证机制（如加密证明或多数据源聚合）有助于确保接收数据的准确性和完整性。定期审计和监控甲骨文合约及其与智能合约的交互也有助于发现潜在漏洞。不应对从外部神谕返回的数据的准确性做出假设，并应采取保护措施，防止临时价格操纵或陈旧数据影响协议的运行。

实例

BonqDAO 曾遭受过一次价格神谕操纵攻击，攻击者可以暂时抬高 WALBT 代币的价格，以借入比有权借入的稳定币（BEUR）多得多的稳定币。随后，攻击者再次操纵价格，将其降至极小值，以清算 30 多个抵押不足的币种。BonqDAO 的漏洞并不在于其价格报告机制的无权限性，而在于它将协议合约的现货价格视为最后报告的价值。正因为如此，任何人都可以瞬间抬高或降低给定价格的价值。

参考资料：

l  https://medium.com/immunefi/fei-protocol-vulnerability-postmortem-483f9a7e6ad1

l  https://medium.com/immunefi/fei-protocol-flashloan-vulnerability-postmortem-7c5dc001affb

l  https://medium.com/immunefi/mushrooms-finance-theft-of-yield-bug-fix-postmortem-16bd6961388f

l  https://medium.com/immunefi/enzyme-finance-price-oracle-manipulation-bug-fix-postmortem-4e1f3d4201b5

l  https://medium.com/immunefi/hack-analysis-cream-finance-oct-2021-fc222d913fc5

l  https://medium.com/immunefi/hack-analysis-bonqdao-february-2023-ef6aab0086d6

V04:2023 薄弱的访问控制

概述

薄弱的访问控制机制会让未经授权的用户或恶意行为者在未经授权的情况下访问智能合约中的关键功能或数据。访问控制对于确保只有授权实体才能与特定功能交互或修改关键参数至关重要。

说明

必须实施适当的访问控制措施，如基于角色的权限和强大的身份验证机制，以防止未经授权的访问。明确记录系统内行为者的这些限制和能力，有助于突出哪些操作存在关键漏洞风险。这种文档有助于改进单元测试和识别潜在冲突，确保系统按预期运行，并最大限度地降低因一次检查缺失而导致重大漏洞的风险。项目还应确保尽可能限制角色的允许操作，以防止 Web2 世界的风险对整个系统造成不可挽回的损失。如果角色不够细化，或者协议严重依赖于集中化的安全模式，那么私钥泄露的破坏力将令人难以置信。

预防措施

为防止薄弱的访问控制漏洞，开发人员应实施基于角色的访问控制机制。在合同文档中明确定义角色及其相关权限。实施强签名验证，使用经过验证和测试的库。定期审查和更新访问控制机制，以应对系统要求或用户角色的任何变化。

实例

Enzyme Finance 公司奖励了一名研究人员，以表彰他发现了与名为 "加油站网络 "的外部组件集成后产生的漏洞。加油站网络是一个由中继器组成的去中心化网络，允许 dApp 支付交易成本，而不是单个用户。该支付程序缺少对可信转发器的验证，而可信转发器会返回中继工作者使用的资金数额，以便退款。如果你喜欢视频，建议观看我们对 Sense Finance 5万美元赏金支付的分析。

参考资料：

l  https://medium.com/immunefi/88mph-function-initialization-bug-fix-postmortem-c3a2282894d3

l  https://medium.com/immunefi/mushrooms-finance-logic-error-bug-fix-postmortem-780122821621

l  https://medium.com/immunefi/alchemix-access-control-bug-fix-debrief-a13d39b9f2e0

l  https://medium.com/immunefi/openzeppelin-bug-fix-postmortem-66d8c89ed166

l  https://medium.com/immunefi/sense-finance-access-control-issue-bugfix-review-32e0c806b1a0

l  https://medium.com/immunefi/enzyme-finance-missing-privilege-check-bugfix-review-ddb5e87b8058

V05:2023重复攻击/篡改签名

智能合约概述

加密技术是所有智能合约功能的核心。协议中实施的加密基元通常与链上使用的基元相同，以无权限方式运行。然而，有时可能会错误地使用它们，导致执行的操作次数超过预期，造成经济损失或不正确的合约状态。

说明

当攻击者复制有效交易或消息以欺骗智能合约执行一次以上的操作时，就会发生重放攻击。基于 EVM 的链可以访问原始的 ecrecover，它允许智能合约验证某些数据是否经过恢复地址的验证和签名。但是，这个原生函数并没有实现任何形式的重放保护。

通常情况下，重放保护是通过引入 nonce（使用一次的数字）来实现的，当使用签名时，nonce 会递增，一旦 nonce 更新，原始签名就无法再次使用。签名延展性是指在不使签名失效的情况下修改签名的能力，允许签名被使用两次。在对数据进行编码或在不同类型之间进行转换时，可以引入这种功能，即在检查签名时忽略值的某些部分或比特，但使用其全部来防止重放攻击。

预防措施

为防止重放攻击和签名篡改漏洞，开发人员应实施基于非ce的事务管理。Nonces 可以确保每个事务都是唯一的，从而防止重放攻击。此外，实施适当的签名验证检查（如验证签名的完整性和真实性）也有助于防止签名篡改攻击。合同设计还应包括防止意外操作重复的机制，如一次性令牌或唯一交易标识符。

实例

Polygon 的 Double-Spend 漏洞是当时历史上奖金最高的漏洞，该漏洞涉及 Polygon 的 WithdrawManager 中的一个漏洞，该漏洞用于验证之前区块中燃烧交易的包含性和唯一性。被编码的 branchMask 方法允许将多个唯一的分支掩码编码为相同的退出 id。这种签名的可篡改性允许攻击者只存入 10 万美元并重复使用签名，从而造成 2230 万美元的损失。

参考资料：

https://medium.com/immunefi/polygon-double-spend-bug-fix-postmortem-2m-bounty-5a1db09db7f1

https://medium.com/immunefi/hack-analysis-nomad-bridge-august-2022-5aa63d53814a

https://medium.com/immunefi/hack-analysis-binance-bridge-october-2022-2876d39247c1

V06:2023 误差

概述

浮点运算和四舍五入错误的不当处理会导致财务差异或合同逻辑被利用。精确处理数字运算（在适用情况下使用定点运算）对于避免此类漏洞至关重要。通常，这些漏洞可能出现在无权限交换协议中，因为非标准的十进制数值可能会带来不可预见的后果。

说明

当智能合约执行涉及浮点运算的计算时，如果没有考虑精度或四舍五入，就会出现四舍五入错误。这些错误会导致财务差异、资金损失或合约内计算的奖励不正确。智能合约应使用定点运算或其他机制来准确处理小数计算，确保最大限度地减少或消除四舍五入错误。

预防措施

为防止四舍五入错误，开发人员应使用定点运算或提供精确数字运算的库。定点运算使用整数值表示小数，避免了浮点运算的不精确性。此外，对数值运算（包括边界条件和拐角情况）进行全面测试和验证有助于识别和解决潜在的四舍五入错误。

实例

值得注意的是，DFX Finance 曾修补过一个漏洞，该漏洞由 EURS 令牌的非标准十进制值 2 导致的四舍五入错误引起。对于 DFX Finance 的自动做市商而言，同化器是必不可少的，因为所有资产都与 USDC 配对。AssimilatorV2 合约负责将所有金额转换为一个数字，或用于整个协议计算的基值。当整数除法导致用户转移的代币为零时，问题就出现了，尽管用户仍会收到代表其曲线池部分的曲线代币。

参考资料：

l  https://medium.com/immunefi/moonbeam-astar-and-acala-library-truncation-bugfix-review-1m-payout-41a862877a5b

l  https://medium.com/immunefi/dfx-finance-rounding-error-bugfix-review-17ba5ffb4114

V07:2023 Reentrancy

概述

Reentrancy在以太坊中由来已久，2016 年以太坊早期网络遭受的最大攻击之一 "The DAO Hack"就是该类漏洞造成的。Reentrancy允许攻击者在上一次调用完成之前重复调用有漏洞的合约，从而导致意外的状态变化和未经授权的资金转移。

说明

当合约在执行过程中允许外部调用，而没有正确管理状态变化和执行流程时，就会出现Reentrancy漏洞。Reentrancy允许攻击者在前一次调用完成之前重复调用有漏洞的合约，从而导致意外的状态变化和未经授权的资金转移。实施安全的状态管理模式和应用互斥锁可以降低Reentrancy攻击的风险。一些可以帮助你识别合同中可能存在的重入的工具包括 Slither、Mythril 和 Pyrometer。你可以在这篇文章《Reentrancy终极指南》中了解有关重入性的更多信息。

预防

为防止重入性漏洞，开发人员应遵循安全状态管理模式，如 "检查-影响-交互"（CEI）模式。这种模式可确保在执行任何外部调用之前进行所有状态更改，从而防止重入性攻击。此外，实施互斥锁或使用 "ReentrancyGuard "模式可通过阻塞重入调用进一步防止重入。

实例

Omni 协议遭遇黑客攻击，其以太坊智能合约受到重入性攻击，损失 140 万美元。有漏洞的代码使用了 ERC721 的 safeTransferFrom 方法，该方法调用了实现 onERC721Received 接口的智能合约。这种外部调用会将执行权移交给接收方，从而引入重入性漏洞。

参考资料：

https://medium.com/immunefi/hack-analysis-omni-protocol-july-2022-2d35091a0109

V08:2023 Frontrunning

概述

前置运行（Frontrunning）是一种技术，攻击者利用从观察到待处理交易到将其纳入区块之间的时间延迟。通过将自己的交易以更高的天然气价格置于受害者的交易之前，攻击者可以操纵某些合约的交互结果，从而为自己谋取利益。对于去中心化交易所、拍卖或任何交易顺序重要的场景，前置运行都是一个令人担忧的问题。

描述

当攻击者通过抢先执行交易获得优势时，尤其是当他们知道即将包含在区块中的待定交易时，就会发生前置运行。就智能合约而言，在交易顺序对结果有影响的情况下，前置运行可能是有害的。例如，在去中心化交易所中，攻击者可以观察到受害者打算以一定价格购买特定代币的挂起交易。然后，他们可以迅速提交自己的交易，以较高的气体价格在受害者的交易执行前以较低的价格购买相同的代币。这样，攻击者就能从价格差中获益，而受害者则要付出代价。前置运行可以由观察内存池的任何人执行，但也可能来自区块生产者本身。一些链拥有私有 RPC，可以降低风险，但私有内存池内的验证者和区块生产者也可能会产生错误的信任假设。开发者应在智能合约层面减少潜在的前置运行机会，而不是依赖外部缓解措施，因为外部缓解措施部分依赖于信任或一致的激励措施来确保其协议的安全。

预防

预防前置运行需要技术和设计方面的综合考虑。一些预防措施包括使用保密或提交-披露方案，实施在交易确认前对价格或出价等敏感信息保密的方案，链外订单匹配，使用闪存机器人（允许用户将交易捆绑在一起并直接提交给矿工）以减少前置运行的机会，以及优化费用以降低被前置运行者出价超过的可能性。

实例

在各种 DeFi 协议中都发现了前置运行攻击。RocketPool 和 Lido 被告知存在一个漏洞，该漏洞可能会影响到这两种定注服务。恶意节点操作员可使用相同的验证器 bls 密钥，利用先前准备好的存款数据和最低所需的存款值来前置运行存款，从而窃取用户存款。

参考资料：

https://medium.com/immunefi/rocketpool-lido-frontrunning-bug-fix-postmortem-e701f26d7971

V09:2023 未初始化的代理服务器

概述

在没有正确初始化的情况下使用代理合约可能会引入漏洞，因为未初始化的存储变量可能会被攻击者操纵。实施安全的代理模式和进行全面的初始化检查对于防止未经授权访问未初始化的合约状态至关重要。迄今为止，未初始化代理漏洞已导致最高 1,000 万美元的悬赏奖金。

说明

未初始化代理合同是指代理合同的状态变量在使用前未正确初始化的情况。这会造成安全漏洞，因为未初始化的存储变量可能包含敏感数据或控制关键的合约行为。攻击者可以通过操纵未初始化的存储变量来获得未经授权的访问权限或执行意外操作，从而利用这些漏洞。为了降低这种风险，必须确保代理合约在生产环境中使用前已正确初始化。

预防措施

为防止未初始化代理漏洞，开发人员应确保在部署和使用代理之前正确初始化代理合约中的所有存储变量。这包括初始化敏感数据、访问控制权限和任何其他关键状态变量。开发人员还应在代理合约内实施全面的初始化检查，以验证所有必要的变量和依赖关系都已正确初始化。开发人员还应实施监控工具，对初始化是否正确进行进行二级验证。这可以通过构造函数或初始化函数来实现，这些函数会在部署后通过自动脚本或事务捆绑调用。

实例

虫洞未初始化代理（Wormhole Uninitialized Proxy）漏洞报告是迄今为止历史上悬赏金额最高的报告：提交报告的白帽子获得了 1000 万美元的奖金。在部署 UUPS 代理合约时，"构造函数"是一个存在于实现中的常规 Solidity 函数。该实现提供了初始化所有者的 initialize() 函数。Wormhole 没有初始化其实现的实现合约，这将使攻击者获得实现的控制权，并自毁合约，从而阻止代理合约的执行，因为它们指向的逻辑已不复存在。

参考资料：

https://blog.openzeppelin.com/the-transparent-proxy-pattern

https://blog.openzeppelin.com/the-state-of-smart-contract-upgrades

https://medium.com/immunefi/harvest-finance-uninitialized-proxies-bug-fix-postmortem-ea5c0f7af96b

https://medium.com/immunefi/wormhole-uninitialized-proxy-bugfix-review-90250c41a43a

V10:2023 治理攻击（Governance Attacks）

概述

治理攻击是指操纵或利用去中心化协议或智能合约系统中的治理机制。这些攻击旨在破坏治理系统的决策过程、投票系统或参数调整，让攻击者从协议中获得不当控制或利益。

说明

治理攻击有多种形式，包括允许在未达到法定人数的情况下执行提案、允许在没有任何投票步骤的情况下执行提案或直接操纵其他参与者的投票。这些攻击会破坏协议的去中心化性质，导致权力集中，或为攻击者带来经济利益。治理攻击与去中心化自治组织（DAOs）尤其相关，在这种组织中，决策权分布在代币持有者之间。

预防措施

要防止治理攻击，必须建立一个强大、定义明确和透明的治理框架，概述决策过程、投票机制和参与规则。实施安全、防篡改的投票系统，确保投票的完整性。这可能涉及使用加密技术、零知识证明或多重签名方案来提高安全性。确保公平、分散地分配代币，避免投票权集中在少数实体手中。考虑代币归属或锁定期等机制，以阻止短期操纵行为。确保大多数治理代币不会分散在不同的交易所中，以免恶意行为者获得足够的代币来一致通过提案。

实例

治理攻击的一个显著例子是对无权限 FIAT 稳定币协议 Beanstalk 的攻击。黑客提交了两份 Beanstalk 改进提案： BIP18和BIP19。第一个提议是向攻击者全额转移资金，第二个提议是向乌克兰官方加密货币捐赠地址发送价值 25 万美元的 BEAN 代币。攻击者从 Aave、Uniswap 和 SushiSwap 闪电借出超过 10 亿美元，以获得足够的投票权（至少⅔多数），从而触发紧急治理执行。

参考资料：

https://medium.com/immunefi/hack-analysis-beanstalk-governance-attack-april-2022-f42788fc821e

结论

随着智能合约的不断发展和广泛采用，开发人员和审计人员必须了解最新的漏洞和安全最佳实践。通过解决这十大智能合约漏洞，利益相关者可以增强智能合约的安全态势，提高基于区块链的系统的整体信任度和可靠性。