2019 年 09 月 13 日 AirSwap 團(tuán)隊(duì)公布了一個(gè) AirSwap 智能合約中存在致命的漏洞，這一漏洞可以使得用戶的資產(chǎn)在某些情況下被對(duì)手惡意吃單『偷盜

2019 年 09 月 13 日 AirSwap 團(tuán)隊(duì)公布了一個(gè) AirSwap 智能合約中存在致命的漏洞，這一漏洞可以使得用戶的資產(chǎn)在某些情況下被對(duì)手惡意吃單『偷盜』，PeckShield 安全人員獨(dú)立分析了該漏洞，并與 AirSwap 團(tuán)隊(duì)溝通了細(xì)節(jié)和修復(fù)方案。

漏洞影響概述

PeckShield 安全人員深入分析 AirSwap 智能合約后發(fā)現(xiàn)，這一漏洞只對(duì)最近上線的 Wrapper 有影響，AirSwap 團(tuán)隊(duì)在發(fā)現(xiàn)該問題后第一時(shí)間下線當(dāng)前合約，并將 AirSwap 網(wǎng)站回退到之前使用的合約，從合約上線到問題修復(fù)整個(gè)過程僅持續(xù)了 24 小時(shí)，可見 AirSwap 團(tuán)隊(duì)對(duì)于合約安全的重視程度之高。

PeckShield 安全人員獨(dú)立分析了漏洞細(xì)節(jié)，并與 AirSwap 團(tuán)隊(duì)溝通細(xì)節(jié)和修復(fù)的方案， 同時(shí)將該漏洞命名為“ItchySwap”。

PeckShield 在此提醒，由于這一漏洞可使用戶的資產(chǎn)被攻擊者惡意偷盜，受此次影響的賬號(hào)一共有 18 個(gè)，其中有部分賬號(hào)有數(shù)萬至數(shù)十萬美元的資產(chǎn)，這些賬號(hào)需要盡快完成升級(jí)，或與 AirSwap 團(tuán)隊(duì)聯(lián)系。

ItchySwap 漏洞詳解

一、AirSwap 合約

在分析之前，為方便起見，我們先定義幾個(gè)概念：

1. maker：出售資產(chǎn)的一方;

2. taker：購買資產(chǎn)的一方;

3. order: maker 與 taker 之間發(fā)生資產(chǎn)交割的訂單;

4. Indexer: AirSwap 中的訂單簿，匯聚了當(dāng)前正在出售及需要購買的資產(chǎn)信息。

下圖說明了 maker、taker 和 Indexer 之間的交互流程：

**

**

AirSwap 是一個(gè)基于 Ethereum 的點(diǎn)對(duì)點(diǎn)去中心化交易所，它集成了 Swap Protocol ，在其中作為一個(gè)自動(dòng)托管服務(wù)，允許交易的雙方(即 maker 和 taker)在以太坊上安全地交易任何資產(chǎn)。與許多去中心化交易所不同，AirSwap 雖然沒有對(duì)資金進(jìn)行托管控制，但仍然有一個(gè)用于匹配目的的集中式訂單簿，它實(shí)現(xiàn)了一個(gè)用于交易和訂單匹配的完全對(duì)等模型。

特別值得一提的是，有一個(gè)名為 Indexer 的鏈下服務(wù)，可以聚合來自 maker 和 taker 的交易意圖，然后為他們提供匹配的服務(wù)。特別是，一旦 taker 找到了合適的 maker，他們就會(huì)開始進(jìn)行場外價(jià)格的談判。一旦達(dá)成協(xié)議，訂單將由 Taker 通過 Swap Protocol 在鏈上進(jìn)行填充和資產(chǎn)交割。

在 AirSwap 智能合約中， taker 將訂單上鏈及資產(chǎn)交割的過程在 AirSwap swap(Types.Order calldata_order) 函數(shù)之中，這一函數(shù)實(shí)現(xiàn)如下所示：

1)驗(yàn)證訂單有效性

訂單 order 參數(shù)有效性檢查，這些信息均由 taker 上鏈的時(shí)候指定的，也意味著這些信息都可以由 taker 篡改，具體包含：

1. 訂單還在有效期內(nèi);

2. 訂單還沒有被其它的 taker 吃單;

3. 訂單還沒有被取消;

4. 訂單的 nonce 大于最小值;

5. 設(shè)置訂單狀態(tài)為 TAKEN 狀態(tài)。

2)驗(yàn)證 taker 信息

確立有效的 taker，根據(jù) order 中指定或者等同于合約的調(diào)用方 msg.sender。

3)驗(yàn)證 maker 信息

驗(yàn)證 maker 的有效性，這里的驗(yàn)證分為兩種情況考慮：

1. 沒有 maker 簽名的訂單：需要保證 msg.sender 有權(quán)限操作這個(gè) maker 地址即可，即這筆 order 發(fā)起者有權(quán)限操作 maker 的資產(chǎn);

2. order 中指定了 maker 的簽名信息：驗(yàn)證簽名的有效性。

4) 資產(chǎn)交割**

**

如果上述的驗(yàn)證流程沒有問題，那么直接執(zhí)行 maker 和 taker 的資產(chǎn)交割。

二、Wrapper 合約

在上述的 AirSwap 合約中，用戶通過 swap() 函數(shù)執(zhí)行資產(chǎn)互換，這一流程非常清晰，沒有問題。但是這一合約存在一點(diǎn)不完美的地方，用戶只能通過 Token 進(jìn)行資產(chǎn)互換，無法直接用 ETH 平臺(tái)幣參與其中。用戶可以先把 ETH 轉(zhuǎn)換成 WETH, 再用 WETH 參與互換，但無論如何，用戶使用體驗(yàn)上多了一步。

為了降低用戶使用體驗(yàn)上的摩擦，AirSwap 團(tuán)隊(duì)與 2019 年 09 月 12 日 推出了 Wrapper 合約，其使用是自動(dòng)將用戶轉(zhuǎn)入的 ETH 轉(zhuǎn)換成 WETH 之后再參與資產(chǎn)互換的過程，其關(guān)鍵流程如下：

1. 驗(yàn)證 swap() 發(fā)起方與 taker 是相同的;

2. 如果用戶發(fā)起 swap() 有攜帶了 ETH 資產(chǎn)，并且需要轉(zhuǎn)換的 token 為 WETH, 那么就自動(dòng)將 ETH 轉(zhuǎn)換成 WETH;

3. 直接調(diào)用 AirSwap 合約的 swap() 操作。

考慮到一種特殊的場景，Alice 希望通過 Wrapper 合約執(zhí)行 AirSwap 資產(chǎn)互換，這一過程需要先由 Alice 自行在 AirSwap 合約中授權(quán) Wrapper 合約，以允許 Wrapper 合約可以執(zhí)行各自的資產(chǎn)交割流程。

由于區(qū)塊鏈的透明性，Eve 看到了 Alice 的授權(quán)操作，那么他就可以向 Wrapper 合約發(fā)起一筆惡意的訂單，其包含的內(nèi)容如下：

1. order 中的有效時(shí)間、nonce 為一個(gè)非常大的數(shù)值;

2. order 中的 maker 對(duì)應(yīng)的賬號(hào)為 Alice 的賬號(hào);

3. order 中的 taker 為空;

4. order 的 signature 為空。

將上述構(gòu)造好的 order 代入 AirSwap 的 swap() 函數(shù)，其中 1，2 兩步的驗(yàn)證由于是 taker 控制的，不會(huì)有問題，我們重點(diǎn)看下第三步驗(yàn)證 maker 信息：

由于此時(shí) AirSwap 合約是由 Wrapper 合約調(diào)用的，那么 msg.sender 即 Wrapper 合約的地址，前文講到，Wrapper 合約是經(jīng)過 Alice 授權(quán)可直接控制 Alice 的資產(chǎn)，此時(shí)雖然 Eve 沒有權(quán)限操作 Alice 的資產(chǎn)，但此時(shí)可以通過 Wrapper 控制，也就間接地控制了 Alice 的資產(chǎn)。

安全規(guī)避

PeckShield 安全人員分析發(fā)現(xiàn)，截止至 2019 年 09 月 28 日為止，共有 6 個(gè)賬號(hào)執(zhí)行了revoke()操作，以解除對(duì)Wrapper合約的授權(quán)，還有 12 個(gè)賬號(hào)存在安全風(fēng)險(xiǎn)，這剩下的所有賬號(hào)應(yīng)當(dāng)立即執(zhí)行revoke()操作，或者將賬號(hào)中的資產(chǎn)轉(zhuǎn)移至未對(duì)Wrapper授權(quán)過的安全賬號(hào)。

任何的代碼在上線生產(chǎn)環(huán)境之前都應(yīng)當(dāng)?shù)玫匠浞值臏y試和驗(yàn)證，特別是承載著用戶價(jià)值的 DEX 平臺(tái)。在產(chǎn)品增加新特性之時(shí)，一定要考慮到舊特性的兼容性與安全，新特性的引入不應(yīng)該觸發(fā)舊產(chǎn)品中設(shè)計(jì)不完備的地方。

附錄

關(guān)鍵詞： AirSwap 智能合約 致命漏洞