隨著 ETH 升級 PoS 共識系統,原有的 PoW 機制的 ETH 鏈在部分社區的支持下成功硬分叉(下文簡稱 ETHW)。但是,由于某些鏈上協議在設計之初沒有對可能的硬分叉做好準備,導致對應的協議在 ETHW 分叉鏈存在一定的安全隱患,其中最為嚴重的安全隱患則是重放攻擊。
在完成硬分叉后,ETHW 主網出現了至少 2 起利用重放機制進行的攻擊,分別是 OmniBridge 的重放攻擊和 Polygon Bridge 的重放攻擊。本文將以這兩個事件作為案例,分別分析重放攻擊對分叉鏈的影響,以及協議應如何防范此類攻擊。
首先,在開始分析之前,我們需要先對重放攻擊的類型做一個初步的了解,一般而言,我們對重放攻擊分成兩類,分別是 交易重放 和 簽名消息重放。下面,我們來分別說下這兩類重放機制的區別
交易重放指的是將在原有鏈的交易原封不動的遷移到目標鏈的操作,屬于是交易層面上的重放,重放過后交易也是可以正常執行并完成交易驗證。最著名的案例莫過于 Wintermute 在 Optimism 上的攻擊事件,直接導致了超 2000 萬 OP Token的損失。但是在 EIP 155 實施以后,由于交易的簽名本身帶有 chainId (一種用于鏈本身區別與其他分叉鏈的標識符),在重放的目標鏈 chainId 不同的情況下,交易本身是無法完成重放的。
簽名消息重放區別于交易重放,是針對的用私鑰簽名的消息 (e.g. Cobo is the best) 進行的重放,在簽名消息重放中,攻擊者不需要對整個交易進行重放,而只需將簽名的消息進行重放即可。在消息簽名中,以 Cobo is the best 為例,由于該消息中并不含任何和鏈相關的特殊參數,所以該消息在簽名后理論上是可以在任意的分叉鏈中均是有效的,可以驗簽通過。為了避免該消息在分叉上的重放,可以消息內容中添加 chainId,如 Cobo is the best + chainId()。在帶上特定的鏈標識符之后,在不同分叉鏈上的消息內容不同,消息簽名不同,因此無法直接進行重放復用。
Bitcoin.org持有人Cobra已解雇該論壇維護者Will Binns:6月27日消息,比特幣官方論壇Bitcoin.org持有人眼鏡蛇Cobra已解雇該論壇的維護者Will Binns。Cobra稱Will Binns提出了不合理的要求。
據悉,Will Binns試圖索要該網站的部分所有權,目前他正在尋求法律訴訟的資金。據此前報道,Will Binns曾發送郵件提醒用戶,無法訪問Bitcoin.org網站,疑似發生黑客入侵。(Decrypt)[2020/6/27]
下面我們來分析 OmniBridge 和 Polygon Bridge 的攻擊原理。首先拋出結論,這兩起攻擊事件本身都不是交易重放 攻擊,原因在于 ETHW 使用了區別于 ETH 主網的 chainId,所以直接重放交易無法被驗證通過。那么剩下的選項就只有消息重放了,那下面我們就來逐個分析它們各自是如何在 ETHW 分叉鏈上被消息重放攻擊的。
OmniBridge 是用于在 xDAI 和 ETH 主網之間進行資產轉移而使用的橋,主要依賴橋的指定的 validator 提交跨鏈消息完成跨鏈接資產的轉移。在 OmniBridge 中,validator 提交的驗證消息的邏輯是這樣的
在這個函數中,首先會根據 #L2 行的簽名檢查來確定提交的簽名是不是由指定的 validator 進行簽名,然后再在 #L11 行對 data 消息進行解碼。從解碼內容上看,不難發現,返回字段中包含了 chainId 字段,那么是不是說明無法進行簽名消息重放呢?我們繼續分析。
Onchain Alfa1與Cobo Custody達成戰略合作:近日,數字資產管理機構Alfa1與數字資產托管平臺Cobo Custody達成戰略合作。雙方將在數字資產增值服務、風險管理等方向進行探索合作,共同推進資產管理新生態。
Alfa1為Onchain集團成員,核心團隊由國內外知名金融機構的高管、區塊鏈、金融科技及證券期貨交易專家組成。
Cobo Custody是面向全球機構客戶與合格投資者的錢包開發及數字資產托管服務。作為亞洲最大的托管機構,以最高安全級的HSM加密機、多重簽名及冷熱分離存儲為安全保障基礎,已服務于交易所、錢包、資管平臺等200多家機構客戶。[2020/5/18]
通過追查 _executeMessage 函數,發現函數在 #L11 行對 chaindId 進行了合法性的檢查
通過繼續分析后續的函數邏輯,不難發現其實針對 chainId 的檢查其實并沒有使用 evm 原生的 chainId 操作碼來獲取鏈本身的 chainId,而是直接使用存儲在 uintStorage 變量中的值,那這個值很明顯是管理員設置進去的,所以可以認為消息本身并不帶有鏈標識,那么理論上就是可以進行簽名消息重放的。
動態 | 零手續費交易所COBINHOOD上線美元交易對:據Bitcoinist今日消息,零手續費交易所COBINHOOD宣布上線美元和多個數字貨幣的交易對。據悉,交易所將于7月20日開放美元存入通道。[2018/7/15]
由于在硬分叉過程中,分叉前的所有狀態在兩條鏈上都會原封不動的保留,在后續 xDAI 團隊沒有額外操作的情況下。分叉后 ETHW 和 ETH 主網上 Omni Bridge 合約的狀態是不會有變化的,也就是說合約的 validator 也是不會有變化的。根據這一個情況,我們就能推斷出 validator 在主網上的簽名也是可以在 ETHW 上完成驗證的。那么,由于簽名消息本身不包含 chainId,攻擊者就可以利用簽名重放,在 ETHW 上提取同一個合約的資產。
和 Omni Bridge 一樣,Polygon Bridge 是用于在 Polygon 和 ETH 主網進行資產轉移的橋。與 Omni Bridge 不同,Polygon Bridge 依賴區塊證明進行提款,邏輯如下:
通過函數邏輯,不難發現合約通過 2 個檢查確定消息的合法性,分別是通過檢查 transactionRoot 和 BlockNumber 來確保交易真實發生在子鏈 (Ploygon Chain),第一個檢查其實可以繞過,因為任何人都可以通過交易數據來構造屬于自己的 transactionRoot,但是第二個檢查是無法繞過的,因為通過查看 _checkBlockMembershipInCheckpoint 邏輯可以發現:
眼鏡蛇Cobra:閃電網絡實際上對比特幣的長期價值構成了威脅:“眼鏡蛇Cobra”剛剛在Reddit發貼表示,閃電網絡(LN)實際上對比特幣的長期價值構成了威脅。閃電網絡并不是比特幣專屬的可擴展性解決方案,而是任何可進行擴展的代幣的解決方案。當能以更低成本采用支持閃電網絡的代幣進行支付時,為什么還要使用比特幣呢?比特幣更適合通過側鏈進行擴展。“眼鏡蛇Cobra”是Bitcoin.org和Bitcointalk.org的負責人,是數字貨幣社區內神秘、卻具有大量控制權的人物。[2018/4/13]
對應的 headerRoot 是從 _checkpointManager 合約中提取的,順著這個邏輯我們查看 _checkpointManager 設置 headerRoot 的地方
不難發現在 #L2 行代碼中,簽名數據僅對 borChianId 進行了檢查,而沒有對鏈本身的 chainId 進行檢查,由于該消息是由合約指定的 proposer 進行簽名的,那么理論上攻擊者也可以在分叉鏈上重放 proposer 的消息簽名,提交合法的 headerRoot,后續再通過 Polygon Bridge 進行在 ETHW 鏈中調用 exit 函數并提交相應的交易 merkle proof 后就可以提現成功并通過 headerRoot 的檢查。
bitcoin.org擁有者Cobra:讓比特幣和比特幣現金的社區走到一起:bitcoin.org的擁有者眼鏡蛇Cobra發布推特稱,加密貨幣礦業中心化問題的理想解決方案是讓比特幣和比特幣現金的社區走到一起,并通過改變兩個網絡的PoW(Proof of Work)算法,我們就不再需要對付比特大陸。[2018/3/6]
以地址 0x7dbf18f679fa07d943613193e347ca72ef4642b9 為例,該地址就成功通過以下幾步操作完成了對 ETHW 鏈的套利
首先依靠鈔能力主網交易平臺提幣。
在 Ploygon 鏈上通過 Polygon Bridge 的 depositFor 函數進行充幣;
ETH 主網調用 Polygon Bridge 的 exit 函數提幣;
復制提取 ETH 主網 proposer 提交的 headerRoot;
在 ETHW 中重放上一步提取的 proposer 的簽名消息;
在 ETHW 中的 Polygon Bridge 上調用 exit 進行提幣
從上面分析的兩個例子中,不難發現這兩個協議在 ETHW 上遭遇重放攻擊是因為協議本身沒有做好防重放的保護,導致協議對應的資產在分叉鏈上被掏空。但是由于這兩個橋本身并不支持 ETHW 分叉鏈,所以用戶并沒有遭受任何損失。但我們要考慮的事情是為什么這兩個橋在設計之初就沒有加入重放保護的措施呢?其實原因很簡單,因為無論是 OmniBridge 還是 Polygon Bridge,他們設計的應用場景都非常單一,只是用于到自己指定的對應鏈上進行資產轉移,并沒有一個多鏈部署的計劃,所以沒有重放保護而言對協議本身并不造成安全影響。
反觀 ETHW 上的用戶,由于這些橋本身并不支持多鏈場景,如果用戶在 ETHW 分叉鏈上進行操作的話,反而會在 ETH 主網上遭受消息重放攻擊。
以 UniswapV2 為例,目前在 UnswapV2 的 pool 合約中,存在 permit 函數,該函數中存在變量 PERMIT_TYPEHASH,其中包含變量 DOMAIN_SEPARATOR。
此變量最早在 EIP712 中定義,該變量中含有 chainId,在設計之初就包含可能的多鏈場景的重放預防,但是根據 uniswapV2 pool 合約的邏輯,如下:
DOMAIN_SEPARATOR 在構造函數中已經定義好,也就是說在硬分叉后,就算鏈本身的 chainId 已經改變,pool 合約也無法獲取到新的 chianId 來更新 DOMAIN_SEPARATOR,如果未來用戶在 ETHW 上進行相關授權,那么 ETHW 上的 permit 簽名授權可以被重放到 ETH 主網上。除了 Uniswap 外,類似的協議還有很多,比如特定版本下的 yearn vault 合約,同樣也是采用了固定 DOMAIN_SEPARATOR 的情況。用戶在 ETHW 上交互的時候也需要防范此類協議的重放風險。
對于開發者而言,在為協議本身定制消息簽名機制的時候,應該考慮后續可能的多鏈場景,如果路線圖中存在多鏈部署的可能,應該把 chainId 作為變量加入到簽名消息中,同時,在驗證簽名的時候,由于硬分叉不會改變分叉前的任何狀態,用于驗證簽名消息的 chainId 不應該設置為合約變量,而應該在每次驗證前重新獲取,然后進行驗簽,保證安全性。
普通在協議不支持分叉鏈的情況下,應盡量不在分叉鏈上進行任何操作,防止對應的簽名消息重放到主網上,造成用戶在主網上損失資產
隨著多鏈場景的發展,重放攻擊從理論層面逐步變成主流的攻擊方式,開發者應當仔細考量協議設計,在進行消息簽名機制的設計時,盡可能的加入 chainId 等因子作為簽名內容,并遵循相關的最佳實踐,防止用戶資產的損失。
Cobo 是亞太地區最大的加密貨幣托管機構,自成立以來已為超過 500 家行業頂尖機構以及高凈值人士提供卓越的服務,在保證加密資產安全存儲的前提下,同時兌現了加密資產的穩健增益,深受全球用戶信賴。Cobo 專注于搭建可擴展的基礎設施,為機構管理多類型的資產提供安全托管、資產增值、鏈上交互以及跨鏈跨層等多重解決方案,為機構邁向 Web 3.0 轉型提供最強有力的技術底層支持和賦能。Cobo 旗下包含 Cobo Custody、Cobo DaaS、Cobo MaaS、Cobo StaaS、Cobo Ventures、Cobo DeFi Yield Fund 等業務板塊,滿足您的多種需求。
區塊律動BlockBeats
媒體專欄
閱讀更多
財經法學
成都鏈安
金色早8點
Bress
鏈捕手
PANews
Odaily星球日報
作者| Chenglin Pua(馬來西亞)編審 | 于百程 排版 | 王紀瓏琰世界正掀起一陣Web3的風潮.
1900/1/1 0:00:00金色相對論 | DeFiner創始人:沒有ETH 2.0 DeFi行業很難有大的發展空間:7月16日消息,在今日舉行的金色相對論中,針對“以太坊的2.0階段正在等待中,對于Defi來說.
1900/1/1 0:00:00作者:北辰 Crypto/Web3/幣圈/區塊鏈(不管具體怎么稱呼,總之你知道我說的是哪個領域),營銷幾乎占據了成功的絕對因素,甚至還能再極端一點——項目的視覺設計才是第一生產力.
1900/1/1 0:00:00從去年開始,隨著NFT的大火,各大品牌入局NFT的消息也不絕于耳。比如Tiffany面向CryptoPunk持有者推出NFTiffs NFT;耐克旗下加密時尚品牌RTFKT發行了CloneX N.
1900/1/1 0:00:00文/ Yong Kang Chia和Jun Hao Yap,Spartan Labs.
1900/1/1 0:00:00自從 2021 年年中的 Filecoin 和下半年 Arweave 的瘋狂之后,去中心化存儲行業進入了冷靜期,龐大的存儲資源儲備和零星的實際應用形成了鮮明的對比.
1900/1/1 0:00:00