ERC20智能合约整数溢出系列漏洞披露

从2016年The DAO被盗取6000万美元开始¹，到美链BEC价值归零²、BAI³和EDU⁴任意账户转帐，再到最近EOS漏洞允许恶意合约穿透虚拟机危害矿工节点⁵，“智能合约”俨然成为区块链安全重灾区。“清华大学-奇安信集团网络安全联合研究中心”团队在区块链安全方面进行了持续研究，开发了自动化漏洞扫描工具，近期发现了多个新型整数溢出漏洞，可造成超额铸币、超额购币、随意铸币、高卖低收、下溢增持等严重危害。

1. 背景

智能合约作为区块链2.0的代表技术，适应于区块链去中心化、分布式的特点， 具有独立运行、不可篡改的优良特性，可用于实现包含金融工具在内的各类分布式应用。开发者可以自行定义交易逻辑并开发代码发布到链上，合约代码在矿工节点的虚拟机环境（如EVM）中执行。合约交易被打包进区块后，链上节点执行相同代码，从而同步改变链上数据状态。故合约的多方参与者无需建立信任，也无法相互欺骗。
与传统程序一样，智能合约无法避免地存在安全漏洞。而与传统程序不一样的是，合约运行在开放的区块链网络当中，可以被任意调用，而且合约的执行具有“不可更改”的效果，导致合约的漏洞被利用之后危害更大⁶。前面提到的BEC等合约中存在的整数溢出漏洞便是一个典型的例子，攻击者对漏洞的利用造成了数额惊人的损失。
整数溢出是一种常见的高危漏洞，曾引发许多严重事故。1996年阿丽亚娜5型运载火箭在发射37秒后解体并爆炸就是由于整数溢造成的⁷。整数溢出的原理是：计算机中整数变量有上下界，如果在算术运算中出现越界，即超出整数类型的最大表示范围，数字便会如表盘上的时针从12到1一般，由一个极大值变为一个极小值或直接归零。此类越界的情形在传统的软件程序中很常见，但是否存在安全隐患取决于程序上下文，部分溢出是良性的（如tcp序号等），甚至是故意引入的（例如用作hash运算等）。整数溢出漏洞检测和校验是有挑战性的，程序员极容易犯错，而自动化检测方法最大难点在于判断候选溢出是否真正导致了危害，以免造成大量的误报。

2. 自动化挖掘

“清华大学-奇安信集团网络安全联合研究中心” ChainTrust团队成员充分利用多年软件漏洞挖掘的经验，针对智能合约开发了自动化检测工具，可以高效挖掘高危整数溢出漏洞。检测工具通过准确构建整数溢出点的上下文语义，采用符号执行和污点分析等技术，有效区分了无害溢出和有害溢出，能够显著降低漏洞的误报率和漏报率。
截止目前，团队针对Etherscan上排名前470位的代币合约进行了检测，除去未提供源码、没有完整爬取源码或耗时过长的合约，最终完整分析了390份合约。在这些被分析的合约中，团队总共发现25个智能合约存在整数溢出安全问题，申请获得了5个CVE编号，主要包含下述6类新型危害。
团队成员在“全球EOS开发者大会”上对部分漏洞进行了首次披露。本报告将对漏洞情况进行详细披露，旨在推进社区的安全健康发展。

3. 新型漏洞详情

3.1. underSell：高卖低收（CVE-2018-11811）

管理员通过修改合约中的参数来制造溢出漏洞，导致用户提币转出token之后，却收不到ETH（或收到极少量ETH），造成用户经济损失。
漏洞实例：合约Internet Node Token (INT)
漏洞所在位置：红色标注的行L175

漏洞攻击效果：用户提币之后，无法得到对应数额的ETH。
漏洞原理：sellPrice被修改为精心构造的大数后，可导致amount * sellPrice的结果大于整数变量(uint256)最大值，发生整数溢出，从而变为一个极小值甚至归零。该值在程序语义中是用于计算用户提币应得的ETH数量，并在L175进行了校验，但该值被溢出变为极小值之后可以逃逸L175的校验，并导致用户售出token后只能拿到少量的（甚至没有）ETH。

3.2. ownerUnderflow: 下溢增持(CVE-2018-11687)

管理员在特定条件下，通过调用合约中有漏洞的发币函数制造下溢，从而实现对自身账户余额的任意增加。
漏洞实例：合约Bitcoin Red（BTCR）
漏洞所在位置：红色标注的行L41

漏洞攻击效果：管理员执行了一个正常向某个地址进行发币的操作，实际已经暗中将自身账户的余额修改为了一个极大的数。
漏洞原理：distributeBTR()函数的本意是管理员给指定地址发放一定数额的token，并从自身账户减少对应的token数量。减少管理员账户余额的操作为balances[owner] -= 2000 * 10 ** 8 ，运算的结果将被存到balances[owner]中，是一个无符号整数类型。当管理员余额本身少于2000 * 10 ** 8时，减法计算结果为负值，解释为无符号整数即一个极大值。

3.3. mintAny: 随意铸币 (CVE-2018-11812)

管理员调用铸币函数给某个地址增加token时，利用溢出漏洞可以突破该函数只能增加token的限制，实际减少该地址的token数量，从而实现对任一账户余额的任意篡改（增加或减少）。在我们的检测中，有多达18个合约存在类似安全问题。
漏洞实例：合约PolyAi (AI)
漏洞所在位置：红色标注的行L132

漏洞攻击效果：管理员可以绕过合约限制，任意篡改所有地址的token余额。
漏洞原理：攻击者通过构造一个极大的mintedAmount，使得balanceOf[target] + mintedAmount发生整数溢出，计算结果变为一个极小值。

3.4. overMint: 超额铸币(CVE-2018-11809)

管理员通过构造恶意参数，可以绕过程序中规定的token发行上限，实现超额铸币。合约Playkey (PKT)存在此类漏洞，导致合约中的铸币上限形同虚设，从而发行任意多的token。此外，我们还发现Nexxus (NXX)、Fujinto (NTO)两个合约存在类似漏洞，这两个合约没有铸币上限限制，但同样的手段，可以溢出合约中一个用于记录已发币总量(totalSupply)的变量值，使其与市场中实际流通的总币数不一致。
漏洞实例：合约Playkey (PKT)
漏洞所在位置：红色标注的行L237

漏洞攻击效果：管理员可以篡改已发币总量(totalSupply)为任意值，并绕过合约中的铸币上限超额发行token。
漏洞原理：_value在函数调用时被设置为精心构造的极大值，使得totalSupply + _value计算结果溢出后小于tokenLimit，从而轻易绕过L237行的铸币上限检测。

3.5. allocateAny: 超额定向分配(CVE-2018-11810)

管理员通过制造溢出来绕过合约中对单地址发币的最大上限，可以对指定地址分配超额的token，使得对单地址的发布上限无效。
漏洞实例：合约LGO (LGO)
漏洞所在位置：红色标注的行L286

漏洞攻击效果：管理员绕过合约中规定的单地址发币上限，给指定地址分配超额的token。
漏洞原理：一个极大的_amount可以使得算数加法运算holdersAllocatedAmount + _amount发生整数溢出，变为一个极小值，从而绕过L286的检测。

3.6. overBuy：超额购币（CVE-2018-11809）

买家如果拥有足够多的ETH，可以通过发送大量token制造溢出，从而绕过ICO发币上限，达到超额购币。
漏洞实例：合约EthLend (LEND)
漏洞所在位置：红色标注的行L236

漏洞攻击效果：调用者绕过合约中规定ICO的token容量上限，获得了超额购币。
漏洞原理：一个极大的_newTokens可以使得算数加法运算totalSoldTokens + newTokens发生整数溢出，变为一个极小值，从而绕过L236的检测。

4. 漏洞列表

团队采用自动化工具分析了390份ERC20智能合约，除上述已披露的漏洞之外，共发现25个智能合约存在未知的整数溢出漏洞，详细情况如下表所示，出于对相关厂商安全的考虑，隐去了具体的漏洞位置、源代码等技术细节，相关厂商安全人员如有需求，可与研究团队联系（列表最右侧一列的类型编号对应上述分类，每种合约可能同时存在多种类型漏洞）:

Name	Address	TypeID
SwftCoin (SWFTC)	0x0bb217e40f8a5cb79adf04e1aab60e5abd0dfc1e	3\4
EthLend (LEND)	0x80fB784B7eD66730e8b1DBd9820aFD29931aab03	3\6
Internet Node Token (INT)	0x0b76544f6c413a555f309bf76260d1e02377c02a	1\3\4
Tracto (TRCT)	0x30ceCB5461A449A90081F5a5F55db4e048397BAB	1
LGO (LGO)	0x123ab195dd38b1b40510d467a6a359b201af056f	5
Bonpay (BON)	0xcc34366e3842ca1bd36c1f324d15257960fcc801	4
ATLANT (ATL)	0x78b7fada55a64dd895d8c8c35779dd8b67fa8a05	3\4
Bitcoin Red	0x6aac8cb9861e42bf8259f5abdc6ae3ae89909e11	2
Nexxus (NXX)	0x7627de4b93263a6a7570b8dafa64bae812e5c394	4
Fujinto (NTO)	0x8a99ed8a1b204903ee46e733f2c1286f6d20b177	4
PolyAi (AI)	0x5121e348e897daef1eef23959ab290e5557cf274	3
RemiCoin (RMC)	0x7dc4f41294697a7903c4027f6ac528c5d14cd7eb	3
Pylon (PYLNT)	0x7703c35cffdc5cda8d27aa3df2f9ba6964544b6e	3
ICO (¢)	0xa33e729bf4fdeb868b534e1f20523463d9c46bee	3
Amber (AMB)	0x4dc3643dbc642b72c158e7f3d2ff232df61cb6ce	3
Playkey (PKT)	0x2604fa406be957e542beb89e6754fcde6815e83f	3\4
Substratum (SUB)	0x12480e24eb5bec1a9d4369cab6a80cad3c0a377a	3
Guppy (Guppy)	0xf7b098298f7c69fc14610bf71d5e02c60792894c	3
FunFair (FUN)	0x419d0d8bdd9af5e606ae2232ed285aff190e711b	3
BitAsean (BAS)	0x2a05d22db079bc40c2f77a1d1ff703a56e631cc1	3
Legends (LGD)	0x59061b6f26BB4A9cE5828A19d35CFD5A4B80F056	4
DCORP (DRP)	0x621d78f2ef2fd937bfca696cabaf9a779f59b3ed	3
SOCIALL (SCL)	0xd7631787b4dcc87b1254cfd1e5ce48e96823dee8	3
Target Coin (TGT)	0xac3da587eac229c9896d919abc235ca4fd7f72c1	3
Genesis Vision (GVT)	0x103c3A209da59d3E7C4A89307e66521e081CFDF0	3\4

5. 结论

智能合约之所以“智能”，是由于合约代码一旦上链，其执行效果完全由可见且不可篡改的代码来决定，而不用依赖于对任何参与方的信任。然而，由上述漏洞分析可见，智能合约并没有预期的“智能”，存在相当多的安全风险，尤其是管理员权限下，可能导致诸多严重的安全问题。仅仅通过整数溢出这一常见漏洞类型，管理员便能够任意篡改所有账户余额，恶意超额、甚至无上限铸币，背离合约白皮书的约定，这样的合约无法保证参与多方的公平性，更无谈智能。而管理员利用整数溢出进行作恶早已有先例，2018年2月初，基于以太坊的Monero Gold(XMRG) Token在交易所的价格先猛涨787%，后迅速暴跌至崩盘，造成大量用户经济损失⁸，其背后就是管理团队利用预留的整数溢出漏洞进行超额铸币，并在交易所抛售造成恶性通货膨胀，最后价值几乎归零⁹。在区块链上运行的智能合约，本意是利用区块链不可篡改的特性来构建可信的执行环境，然而安全漏洞的存在就像一个个隐藏的定时炸弹，对智能合约的可信任基础带来了巨大的挑战。
在近一个月之前，团队已经发现上述安全漏洞，在评估了安全威胁之后第一时间反馈给相关厂商，并通知了交易所（如火币网），希望能够帮助厂商和交易所及时修补漏洞和杜绝安全隐患，多家厂商在得到通报后也积极做出了应急响应。

6. 关于我们

清华大学-奇安信集团网络安全联合研究中心是清华大学网络研究院和奇安信集团共同成立的联合研究机构，结合清华大学和奇安信集团在学术研究和产业服务中的优势，面向世界学术和技术前沿开展研究，服务于国家和社会对网络空间安全的战略需求。研究团队在漏洞挖掘与攻防领域有丰富的经验，团队在国际四大顶级安全会议中发表多篇论文，在世界学术和工业界有广泛的影响力，孕育了“蓝莲花”等国际知名黑客战队。

参考文献