别再复制Compound的代码了

  • jackson
  • 更新于 2022-03-23 14:41
  • 阅读 3565

代码是别人的,但是复制过来后,漏洞却是需要自己承受的,如此局面下,我们能够做的,就是严谨对待自己的项目和代码,因为出了问题后,Compound 和审计公司都没有义务为你负责。

别再复制Compound的代码了

前段时间看Compound的代码,发现两个可能影响资金安全的漏洞。

漏洞一

发现Compound的一个严重漏洞 | 登链社区 | 深入浅出区块链技术 (learnblockchain.cn)

这个漏洞的主要原因是Compound采用的这种资金池净值的算法可以被攻击,攻击者可以在资金池份额很小时,恶意转入一定量资金导致净值达到一个极大的值,从而让后面存入资金时,份额=资金/份额,整除后结果为0,也就是说用户存入资金确得不到份额!然后攻击者就可以取回份额,盗走用户的资金。

这个漏洞的利用条件比较苛刻,基本上只有在创建资金池的时候才有攻击的可能,但是,对于合约这种极其关键的东西,应该严谨对待,不能因为难以利用就置之不理,特别是这个漏洞要堵上是非常简单的。

因此给Compound的漏洞赏金计划邮箱发了一封邮件,告知了这个问题,但是至今没有收到回复。

担心是邮件没有收到,我又通过一个中间人来联系上Compound,但是一个中间人表示这个漏洞他们已经知道了,并说这个漏洞很难被利用,可以通过运营手段规避。想想确实是这样,这个漏洞虽然可能被利用,但是难以被利用,不必大惊小怪。

漏洞二

发现Compound的第二个严重漏洞 | 登链社区 | 深入浅出区块链技术 (learnblockchain.cn)

这个漏洞则似曾相识,基本逻辑还是回调、重入,但是漏洞确比第一个更加严重,而且也容易被利用一些,只要有带钩子的代币,就可以攻击!

于是我第一时间联系一个中间人,然后他们的回复依然是,这个漏洞他们已经发现了!

这次我就不是很理解了,后果如此严重,又比较容易被利用的漏洞,为什么被大家发现了还能够存在?而且堵上这个漏洞只需要调换一下两句代码的顺序就可以了,这样简单却能解决大问题的事情,却没有人做?难道仅仅是因为Compound没有带钩子的代币?

这让我对漏洞的认知产生了怀疑!第一次在本站发布这个漏洞后没多久,觉得内容比较敏感,我就把主要内容都删除了。

漏洞终于被利用

然而,漏洞还是被利用了。March-15-2022 06:28:40 PM +8 UTC,Hundred Finance遭受攻击,黑客获利2363 ETH,总价值超过4000万人名币。Hundred Finance代码源自Compound。利用的漏洞和上文中的第二个思路相同。事实上,黑客可以更狠一些,攻击的时候同时调用exitMarket()退出借贷市场,从而攻击者赎回、借款时,欠款会被全部忽略!

反思

代码是别人的,但是复制过来后,漏洞却是需要自己承受的,如此局面下,我们能够做的,就是严谨对待自己的项目和代码,因为出了问题后,Compound和审计公司都没有义务为你负责。

点赞 4
收藏 5
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

12 条评论

请先 登录 后评论
jackson
jackson
0x6aec...396f
https://medium.com/@jackson-coming