隨著波場 DApp 生態的不斷發展, DApp開發者和用戶的數量急速增長,經濟利益的迅速累積,提高智能合約的防攻擊能力,越來越成DApp 開發的一個
隨著波場 DApp 生態的不斷發展, DApp開發者和用戶的數量急速增長,經濟利益的迅速累積,提高智能合約的防攻擊能力,越來越成DApp 開發的一個重要考量。因此,波場面向社區,征集DApp 的開源代碼,結合其合約源碼,以實戰的方式,講解波場智能合約開發時,需要注意的一些安全細節。
本期小課堂征集到的是 TRON-Rich 團隊的 UsdtBank合約。在分析合約之前的首要事情,就是通過合約驗證平臺,驗證其為真的開源合約。接下來先用小段篇幅對社區的https://troneye.com (以下簡稱 TRON-Eye)進行解析,以選定合約驗證平臺。
合約驗證的原理在于,Solidity 合約編譯后的 bytecode 由可執行bytecode 以及meta-hash兩部分組成,同一份合約源碼在相同編譯環境下多次編譯,產生的 bytecode 相同,正確的合約驗證方法,應該比對bytecode,從而驗證源碼是否和鏈上合約完全一致。
TRON-Eye詳細闡述了其驗證思路,同時還在合約源碼展示頁支持用戶自行編譯bytecode并比對,提高了公信力。因此,我們選定 TRON-Eye 作為小課堂的驗證平臺,校驗合約是否真正開源。
圖2所示的,即為本次待考察合約 ,TRON-Rich 團隊的UsdtBank合約代碼。接下來就對其源碼,進行安全角度的詳細解讀。
如非必要, 應該禁止被其他合約調用
允許被其他合約調用, 容易被發起回退攻擊,尤其是即時返回結果的下注類游戲。攻擊合約可以在其合約函數中調用目標合約,如果目標合約立即返回結果,當攻擊合約發現返回的結果對自己不利時,主動 revert,回退交易。從而實現“只贏不輸”。
/*
* only human is allowed to call this contract
*/
modifier isHuman() {
require((bytes32(msg.sender)) == (bytes32(tx.origin)));
_;
}
UsdtBank 采用了上述代碼,判斷是否是合約,其原理就是,如果是合約調用的話,msg.sender 是外層合約地址,但是 tx.origin 是合約調用者。當然這段代碼先將 address強轉 bytes32,浪費了能量,建議直接采用 msg.sender == tx.origin 即可。
function invest(uint256 _referrerCode, uint256 _planId, uint256 _value) public whenNotPaused isHuman {
if (_invest(msg.sender, _planId, _referrerCode, _value)) {
emit onInvest(msg.sender, _value);
}
}
判斷一個地址是否是合約地址
下面是 UsdtBank 使用這個modifier 的方式,可以發現,這個 modifier 僅適合用來限制被調用方是普通用戶。那么如果需要判斷某個傳入的address 參數是人,而不是合約,則需要使用另外一種方式。
function isContract(address account) internal view returns (bool) {
uint256 size;
assembly { size := extcodesize(account) }
return size > 0;
}
Q: 那么為什么 isHuman() 這個 modifier 不使用這種方式呢?
A: 這是因為,通過 extcodesize 方式判斷一個地址是否是合約地址,并不準確。當在其他合約的構造函數中讀取extcodesize時,這個值總是0.
More: 波場已經提交了一個關于增加 address.type 的 TIP,可以直觀準確的判斷一個地址類型,歡迎參與該 TIP 的討論。
小結論:要想完整限制合約中的調用者,以及合約中的地址參數為 Human,目前最好的方式,是結合前述的 isHuman() modifier 以及 isContract().
怎么通過合約,處理TRC20的轉賬
本期選擇 UsdtBank 講解的一個重要原因是,UsdtBank 是一個支持 USDT參與投注的合約,有助于推廣使用TRC20投注游戲合約的正確姿勢。
UsdtBank 和 USDT 投注相關的有如下一些代碼:
ITRC20 public usdtAddr_;
function setUsdtAddr(address _usdtAddr) public onlyOwner {
require(address(usdtAddr_) == address(0x00));
require(address(_usdtAddr) != address(0x00));
usdtAddr_ = ITRC20(_usdtAddr);
}
上述代碼表示,usdtAddress 僅允許初始化的時候,設置一次(謝絕跑路 ^_^)。
function _invest(address _addr, uint256 _planId, uint256 _referrerCode, uint256 _amount)
private
notContract(_addr)
returns (bool)
{
usdtAddr_.transferFrom(_addr, address(this), _amount);
….
}
由于 TRC20 token 相對 TRX以及 TRC10 token 最大的區別在于,TRX 和 TRC10 的balance存儲于address 的 account 中,而 TRC20 token 的 balance存儲在 TRC20合約里。直接調用 TRC20合約的 transfer 函數,雖然能夠將自己的余額轉到另外一個地址名下,但事實上只是在 TRC20合約里發生了兩者balance 字段值的修改。所以采用 標準TRC20下注,必須使用 Approve 和 TransferFrom 兩步分開的方式。雖然這會導致用戶簽名兩次。
關鍵詞: UsdtBank合約 回退攻擊 余額
