一文復盤etherscan的0day（零日）漏洞_AAA

我喜歡挑戰假設。我喜歡嘗試做不可能的事情，找到別人錯過的東西，用他們從未見過的事來使他們震驚。去年的時候，我根據一個非常費解的Solidity漏洞為ParadigmCTF2021編寫了一個挑戰。雖然公開披露了一種變體，但我找到的漏洞從未真正被討論過。結果，幾乎所有嘗試過挑戰它的人，都被它看似不可能的性質所難倒。幾周前，我們正在討論關于ParadigmCTF2022的計劃，當時Georgios在推特上發布了一條難題推文，我認為在啟動電話會議的同一天發布一個挑戰會非常酷。然而，這不可能只是一次老掉牙的挑戰。我想從這個世界得到一些東西，一些沒有人會看到的東西，一些超越人們想象極限的東西。我想編寫第一個利用0day漏洞的以太坊CTF挑戰。

1

如何制造0day漏洞

作為安全研究人員，為了優化我們的時間，我們會做出一些基本假設。一是我們正在閱讀的源代碼確實產生了我們正在分析的合約。當然，只有當我們從可信的地方讀取源代碼時，這種假設才成立，比如說Etherscan。因此，如果我能找到一種方法讓Etherscan錯誤地驗證某些東西，我就能夠圍繞它設計出一個真正迂回的謎題。為了找出如何利用Etherscan的合約驗證系統，我必須驗證一些合約。我在Ropsten測試網部署了一些合約來折騰并嘗試驗證它們。很快，我就看到了下面的界面。

數據：過去30天15萬枚BTC變得“流動性不足”，創年初至今新高:金色財經報道，Glassnode 分析發現高流動性比特幣供應量呈明顯下降趨勢，目前處于294萬比特幣的周期低點附近，自2022年1月以來減少了約62萬枚比特幣，在過去30天內，15萬個代幣變得流動性不足，與Luna崩盤后的情況類似，創下了年初至今的新高。Glassnode 進一步表示，“這種情況表明活躍的可交易供應量顯著收縮，導致流動性下降以及供應方受限。” 從趨勢的角度來看，比特幣的投機性和流動性正在下降。（bitcoininsider）[2023/6/20 21:48:02]

我選擇了正確的設置并進入下一頁。在這里，我被要求提供我的合約源代碼。

我輸入了源代碼并單擊了驗證按鈕，果然，我的源代碼現在附在了我的合約上。

既然我知道了事情是如何運作的，我就可以開始戲弄驗證過程了。我嘗試的第一件事是部署一個新的合約，將foo更改為bar，并用原始源代碼驗證該合約。毫不奇怪的是，Etherscan拒絕驗證我的合約。

然而，當我手動比較兩個字節碼輸出時，我注意到一些奇怪的事情。合約字節碼應該是十六進制的，但顯然有一些并非是十六進制的。

Ally Credence System閃電貸攻擊者已將資金轉至Tornado Cash:金色財經消息，據CertiK監測，Ally Credence System（ACS）閃電貸攻擊者已將資金轉至Tornado Cash。EOA賬戶地址0x31d5fE已將35.6枚BNB（約1.1萬美元）轉入Tornado Cash。[2023/4/7 13:50:21]

我知道Solidity會將合約元數據附加到部署的字節碼中，但我從未真正考慮過它是如何影響合約驗證的。顯然，Etherscan正在掃描元數據的字節碼，然后用一個標記替換它，“這個區域中的任何東西都可以不同，我們仍然會認為它是相同的字節碼。”對于潛在的0day漏洞，這似乎是一個很有希望的線索。如果我可以欺騙Etherscan將非元數據解釋為元數據，那么我將能夠在標記為{ipfs}的區域中調整我部署的字節碼，同時仍然讓它驗證為合法的字節碼。我能想到的在創建事務中包含一些任意字節碼的最簡單方法，是將它們編碼為構造函數參數。Solidity通過將ABI編碼形式直接附加到創建交易數據上來對構造函數參數進行編碼。

然而，Etherscan太聰明了，它將構造函數參數排除在任何類型的元數據嗅探之外。你可以看到構造函數參數是斜體的，以表明它們與代碼本身是分開的。

數據：已有超過10億美元的USDC通過5個地址兌換成USDT美元并存入交易所:金色財經報道，Lookonchain監測顯示，在今年的小牛市之前，一個神秘的基金開始向加密貨幣市場投入資金。該基金于2022年12月7日開始從Circle中提取USDC，截至今天，已經有超過10億美元的USDC。然后通過5個地址兌換成USDT美元，并存入交易所。每次基金開始從Circle中提取USDC并轉移到交易所時，ETH的價格都會上漲。看來加密貨幣價格的上漲與這只基金有關。[2023/2/10 11:58:18]

這意味著我需要以某種方式欺騙Solidity編譯器，使其發出我控制的字節序列，以便使其類似于嵌入的元數據。然而，這似乎是一個很難去解決的問題，因為如果沒有一些嚴重的編譯器爭論，我幾乎無法控制Solidity選擇使用的操作碼或字節，之后源代碼看起來會非常可疑。我考慮了一會兒這個問題，直到我意識到：導致Solidity發出任意字節實際上是非常容易的。以下代碼將導致Solidity發出32個字節的0xAA。bytes32value=0xaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa;受到鼓舞，我很快寫了一個小合約，它將推送一系列常量，以便Solidity會發出與嵌入的元數據完全相似的字節碼。

生物技術公司Vibe Bio完成1200萬美元融資，將于今年推出治理代幣VIBE:6月27日消息，新型生物技術公司Vibe Bio近日宣布完成1200萬美元融資，Initialized Capital領投，Naval Ravikant、Balaji Srinivasan、6thManVentures、YvonneHao、Enke Bashllari、Andy Coravos、Lerer Hippeau、Andy Palmer等跟投。本輪融資金額用于VibeDAO，通過將患者社區直接與投資者、科學家和其他專家聯動起來，以識別和開發罕見病的治療方法。

據悉，VibeBio總部在美國波士頓，和傳統生物公司不同，該公司致力于尋求可持續地擴大治療的發展規模，為患者社區提供對結果的所有權，并通過VIBE代幣銷售為其開發提供資金，將于今年晚些時候推出治理代幣VIBE。（businesswire.com）[2022/6/27 1:34:35]

令我高興的是，Etherscan在我的合約中間標記了IPFS哈希的存在。

我快速復制了預期的字節碼，并用一些隨機字節替換了IPFS哈希，然后部署了生成的合約。果然，Etherscan像往常一樣考慮了不同的字節業務，并允許我的合約得到驗證。

有了這個合約，源代碼建議在調用example()時應該返回一個簡單的字節對象。但是，如果你真的嘗試調用它，就會發生這種情況。$sethcall0x3cd2138cabfb03c8ed9687561a0ef5c9a153923f'example()'seth-rpc:{"id":1,"jsonrpc":"2.0","method":"eth_call","params":}seth-rpc:error:code-32000seth-rpc:error:messagestackunderflow(5<=>16)我在Etherscan中成功發現了一個0day漏洞，現在我可以驗證行為與源代碼建議完全不同的合約。而現在，我只需要圍繞它設計一個解密游戲。2

Nansen分析UST脫鉤：由少數玩家發現脫鉤異常并進行橋接和兌換等來套利:5月28日消息，Nansen在發布的UST脫鉤分析報告中指出，UST的脫鉤可能是由幾個資金充足的實體的投資決定造成的，最早在5月7日（UTC）晚上，七個啟動（initiating）錢包在Curve中交易了大量的UST與其他穩定幣。這七個錢包在5月7日和之前（早在4月）從Anchor protocol中撤回了相當多的UST，并通過Wormhole將UST橋接到以太坊。

在這七個錢包中，有六個與中心化交易所交互，轉入UST（預測為出售目的），或者還有一部分轉賬從Curve流動性池交易到的USDC。也就是說，少數玩家在早期發現了UST脫鉤異常，特別是在Curve池相對較淺的流動性中，然后在鏈上橋接和兌換以及在脫鉤狀況中通過中心化交易所中購買和銷售頭寸來套利。[2022/5/28 3:46:48]

一個錯誤的開始

顯然，這個解密游戲將圍繞這樣一個想法，即Etherscan上看到的源代碼并不意味著合約的實際行為方式。我還想確保玩家不能簡單地直接重放交易，因此解決方案必須是每個地址唯一的。最好的方法顯然是要求簽名。但是在什么情況下會要求玩家簽署一些數據呢？我的第一個設計是一個具有單一公開函數的簡單puzzle。玩家將使用一些輸入調用該函數，對數據進行簽名以證明他們提出了解決方案，如果輸入通過了所有各種檢查，那么他們將被標記為solver。然而，當我在接下來的幾個小時內充實這個設計時，我很快就對事情的結果感到不滿意了，它開始變得非常笨重和不優雅，我無法忍受在一個設計如此糟糕的puzzle上毀掉如此棒的0day漏洞想法。不得不承認，我無法在周五前完成這件事，于是我決定睡一覺。3

Pinball彈球難題

周末我繼續嘗試迭代我的初始設計，但沒有取得更多的進展。就好像我現在的方法碰壁了，盡管我不想承認，但我知道如果我想要我滿意的東西，我可能不得不重新開始。最終，我發現自己從第一原理重新審視了這個問題。我想要的是一個解密游戲，玩家必須在其中完成各種知識檢查。但是，我沒有要求完成知識檢查本身就是獲勝的條件，相反，這可能是允許玩家選擇的眾多路徑之一。也許玩家可以在整個puzzle中累積分數，利用這個漏洞可以獲得某種獎勵。贏的條件只是最高的分數，因此間接鼓勵使用漏洞。我回想起我去年設計的一個挑戰，Lockbox，它迫使玩家構建一個單一的數據塊，以滿足六個不同合約的要求。合約會對相同的字節應用不同的約束，迫使玩家在構建有效載荷的方式上變得聰明。我意識到我想在這里做一些類似的事情，我會要求玩家提交一個單一的數據blob，我會根據滿足特定要求的某些數據部分來獎勵分數。正是在這一點上，我意識到我基本上是在描述pinboooll，這是我在DEFCONCTF2020決賽期間面臨的一個挑戰。pinboooll的噱頭是當你執行二進制文件時，執行會在控制流圖上反彈，就像一個球在彈球機中反彈一樣。通過正確構造輸入，你將能夠找到特定的代碼部分并獲得分數。當然，也有一個漏洞，但坦率地說，我已經忘記了它是什么，我也不打算再去尋找它。除此之外，我已經有了自己想要利用的漏洞。由于我在處理的是一個運行當中的零日漏洞，我決定要盡快解決這個難題。最后，我花了幾個小時讓自己重新認識pinboooll的工作原理，并花了幾天時間將其重新實現。這就解決了puzzle的支架問題，現在我只需要集成這個漏洞。4

武裝化一個零日漏洞

我讓Solidity輸出正確字節的方法一直是只加載幾個常量，并讓Solidity發出相應的PUSH指令。然而，這樣的任意常數可能是一個巨大的危險信號，我想要一些能更好地融入其中的東西。我還必須加載一行中的所有常量，這在實際代碼中很難解釋。因為我真的只需要硬編碼兩個神奇的字節序列，所以我決定看看是否可以在它們之間夾入代碼，而不是第三個常量。在已部署的合約中，我只需要用一些其他指令替換夾在中間的代碼。addressa=0xa264...1220;uintx=1+1+1+...+1;addressb=0x6473...0033;經過一些實驗，我發現這是可能的，但前提是啟用了優化器。否則，Solidity會發出過多的值清理代碼。這是可以接受的，所以我繼續改進代碼本身。我只能在兩個地址內修改代碼，但是在最后看到一個懸空的地址會很奇怪，所以我決定在條件語句中使用它們。我還必須證明第二個條件的必要性，所以最后我投了一點分數獎勵。我做了第一次有條件的檢查，檢查tx.origin是否匹配了硬編碼的值，以給人們一個最初的印象，即沒有必要進一步追求這個代碼路徑。if(tx.origin!=0x13378bd7CacfCAb2909Fa2646970667358221220)returntrue;state.rand=0x40;state.location=0x60;if(msg.sender!=0x64736F6c6343A0FB380033c82951b4126BD95042)returntrue;state.baseScore+=1500;現在源代碼都準備好了，我必須編寫實際的后門。我的后門需要驗證玩家是否正確觸發了漏洞利用，如果他們沒有正確觸發，則不給出任何提示就失敗，如果他們成功觸發，則獎勵他們。我想確保漏洞不會被輕易重放，所以我決定只要求玩家簽署自己的地址，并在交易中提交簽名。為了增加樂趣，我決定要求簽名位于交易數據中的偏移量0x44處，球通常會從這里開始。這將需要玩家了解ABI編碼的工作原理，并手動將球數據重新定位到其他地方。但是，在這里我遇到了一個大問題：根本不可能將所有這些邏輯都放入31字節的手寫匯編中。幸運的是，經過一番考慮，我意識到我還有另外31個字節可以使用。畢竟，真正嵌入的元數據包含了另一個Etherscan也會忽略的IPFS哈希。在打了一些代碼高爾夫之后，我抵達了一個可以工作的后門。在第一個IPFS哈希中，我會立即彈出剛剛推送的地址，然后跳轉到第二個IPFS哈希。在那里，我會哈希調用方，并部分設置memory/堆棧以調用ecrecover。然后我會跳回第一個IPFS哈希，在那里我完成設置堆棧并執行調用。最后，我將分數乘數設置為等于(msg.sender==ecrecover())*0x40+1，這意味著不需要額外的分支。在把后門編碼成一定大小后，我在推特上發布了我的Rinkeby地址，以便從水龍頭處獲取一些測試網ETH，然后向任何觀看這條推文的人暗示可能會發生一些事情。接著，我部署了合約并對其進行了驗證。

現在剩下要做的，就是等待有緣人發現隱藏在視線中的后門。注：截至發稿時，來自RocketPool的軟件開發者KaneWallmann已經解出了這個謎題，具體過程在這里：https://medium.com/@kanewallmann_71759/an-untrustworthy-pinball-machine-d9dcd07882c此外，Etherscan開發者CalebLau也已經修復了該漏洞。

本文來自元宇宙之道，星球日報經授權轉載。

Tags：ETHAAASCANETHEethics翻譯AAA價格https://etherscan.iotogetherbnb和娜娜雙人互動

抹茶交易所