8 月 22 日,一个名不见经传的游戏 God.Game 发出通告,声称遭遇黑客攻击,游戏内的以太币被黑客全部转走。这一消息一时间传遍各大媒体以及讨论群,人们在质疑相关游戏安全性之余,也在揣测项目方动机,一时间难以分清到底是黑客攻击,还是游戏开发方留有后门跑路。
安比(SECBIT)实验室的小伙伴在得到消息后,迅速开展了追踪分析。
God.Game 简单规则如下:GOD 股份购买的所有数量的 10% 被征税并且作为被动的 ETH 收入分配给所有GOD所有者。
通过游戏官网规则,以及合约源码分析,不少人会认为 God.Game 是 PoWH3D 的直接仿品,安比(SECBIT)实验室仔细分析后发现,它其实是综合“借鉴” PoWH3D 和 Zethr 的混合仿品。
PoWH3D 是最近大热的 Fomo3D 游戏团队上一款作品。而 Zethr 则是在 PoWH3D 基础上进一步开发优化,新增不同玩法的另一款热门游戏。二者在玩法规则层面的细节差别,这里不做讨论。
God.Game 游戏漏洞本身不复杂,不少安全公司也发出相关攻击手法的短篇快讯消息,部分不够详尽,安比(SECBIT)实验室通过本文全面分析该漏洞,重点分享 漏洞追踪和定位的详细过程 与大家讨论交流。
疑点一:攻击是无意还是刻意 一下子提走合约内所有以太币的人,是参与游戏过程中无意发现了漏洞,还是刻意进行的操作?安比(SECBIT)实验室认为是后者,因为分析下来,该漏洞虽然隐藏不是很深,但实际触发需要一系列组合操作(类似玩游戏按上上下下左左右右开启作弊),正常游戏玩家的普通参与几乎不可能触发漏洞。安比(SECBIT)实验室分析攻击者的交易记录,发现其手段十分娴熟,目的性极强,明显是奔着该漏洞而来。
疑点二:攻击者的时机选择 攻击者为什么恰好选择在奖池金额 243 个以太币时发动攻击?
上面是 游戏合约账户余额趋势图 ,横坐标是区块高度,纵坐标是 God.Game 合约账户余额。此图可反映随着时间推进,入场资金情况。安比(SECBIT)实验室发现,God.Game 合约部署上线后,合约资金量长期一直在 50 以太币以下,但在 6179500 区块高度以后,入场资金开始猛增到接近 260 个以太币(大量韭菜入场),随后略有衰退(一部分人选择提现退出),进入一段很长的调整停滞期。
无论是 Fomo3D 还是 PoWH3D,这类庞氏游戏最早期入场资金优势都很大,可以较快速回本。后续只有在持续大规模地运营宣传下,才可能有大量新资金入场参与游戏。因此游戏第一时间内的入场资金,基本决定了游戏资金量的总体规模。
而攻击者正是在资金规模就快回升到 前期高点 时,果断出击,利用漏洞果断提走游戏内的所有以太币。于是形成了上图类似“ 高台跳水 ”的有趣情景。
这蹊跷的手法、这迷人的走势是不是有些眼熟? 疑点三:是漏洞还是后门 到底是无意引入的漏洞还是刻意暗留的后门?前面提到,God.Game 游戏代码重度参考了 PoWH3D 和 Zethr。而与漏洞相关的关键函数名 transferFromInternal() 只在 Zethr 合约代码中有出现。
上图所示问题代码,“创新”地增加了一组关于转账双方是合约、还是普通账户的分支情况处理。面对这一串冗长的代码,只要清楚 PoWH3D 工作原理,就很容易能发现此处 代码逻辑根本说不通 ,也无法在游戏实际规则中找到适配点。并且这种根据账户类型分别处理账本的逻辑在原版 PoWH3D 和 Zethr 中根本没有出现。
God.Game 代码此处函数命名仿照了 Zethr,但是具体变量名却是仿造 Fomo3D,代码风格十分诡异。可以推断以下两种情况:代码作者有可能是因为没有理解 PoWH3D 游戏机制引入了漏洞;也有可能是故意增加代码混乱度来迷惑他人,以达到埋藏后门之目的。
特别地,安比(SECBIT)实验室还发现同样是 transferFromInternal() 函数,God.Game 代码中唯一与 Zethr 相近的地方,就是上图示例中针对 ERC223 代码做的回落处理,似乎是想通过引入此段代码(需要判断目标地址是否是合约)来为前面提到的不合逻辑代码打掩护。
异常:飙升的 Token 售价下面让我们进入安比(SECBIT)实验室安全研究员 sha3 的第一视角,让 TA 为你拨开漫漫迷雾找出漏洞。
Good Luck Have Fun.
我们首先进入游戏首页,发现单个God token的售价已经飙升至300ETH,而被God.Game抄袭的火爆原版游戏PoWH3D的单价才0.02ETH,面对不寻常的数值,敏感的安比(SECBIT)实验室小伙伴首先怀疑该游戏合约可能存在整数溢出漏洞。
为了考证我们的想法,我们想到了回溯God.Game过往的售价变化过程(感谢区块链技术,让我们无法消灭历史),寻找在何处触发了整数溢出漏洞。
通过遍历区块历史数据,发现在6182409高度时,buyPrice/sellPrice等数据飙升,于是我们便仔细分析该区块中和God.Game相关的交易。
分析发现,在6182409区块中,唯一和God.Game产生关联的交易是 0x368688a944059fdd657e7842d8762b05250bd45f3a2a16cbae1b29727023b00f 。
在该交易中,0x2368Beb4调用0x7f325EfC的 reinvest() 后,继而调用了0xca6378fc中的 reinvest() ,(通过简单的逆向分析,我们暂时认为0x7f325EfC是一个简单的代理合约,实现了God.Game游戏的基本接口)。
一番操作:定位到攻击源我们不禁问道,为何调用一次 reinvest() 就可以将游戏中的各个数据全部暴增,我们怀疑创建这个合约的账户就是攻击者。
顺着这条线索,我们观察到这个合约的创建者,即0x2368Beb4,在6182409高度之前通过合约0x7f325EfC进行了另外几次操作。
具体操作历史如下:
区块高度 FROM TO CALL 6182399 0x2368Beb4 0xca6378fc transfer(address,uint256) 6182399 0xca6378fc 0x7f325EfC tokenFallback(address,uint256,bytes) 6182403 0x2368Beb4 0x7f325EfC withdraw() 3ccfd60b 6182403 0x7f325EfC 0xca6378fc withdraw() 3ccfd60b 6182403 0xca6378fc 0x7f325EfC 6182406 0x2368Beb4 0x7f325EfC transfer(address,uint256) 6182406 0x7f325EfC 0xca6378fc transfer(address,uint256) 6182409 0x2368Beb4 0x7f325EfC reinvest() fdb5a03e 6182409 0x7f325EfC 0xca6378fc reinvest() fdb5a03e 6182419 0x2368Beb4 0x7f325EfC sell(uint256) 6182419 0x7f325EfC 0xca6378fc sell(uint256) 6182439 0x2368Beb4 0x7f325EfC transfer(address,uint256) 6182439 0x7f325EfC 0xca6378fc transfer(address,uint256) 6182462 0x2368Beb4 0x7f325EfC transfer(address,uint256) 6182462 0x7f325EfC 0xca6378fc transfer(address,uint256)再看看 reinvest() 函数调用时产生的event。
我们看到了 0000000000000000fffffffffffffffffffffffffffffffffffcf2ac578ec8d9 这个极像溢出的值。
随即我们打开God.Game源代码,搜寻其中的蛛丝马迹。
我们将目标锁定到 reinvest() 函数。
function reinvest()onlyProfitsHolders()
public
{
// fetch dividends
uint256 _dividends = myDividends(false);
// retrieve ref. bonus later in the code
// pay out the dividends virtually
address _customerAddress = msg.sender;
payoutsTo_[_customerAddress] += (int256) (_dividends * magnitude);
// retrieve ref. bonus
_dividends += referralBalance_[_customerAddress];
referralBalance_[_customerAddress] = 0;
// dispatch a buy order with the virtualized "withdrawn dividends"
uint256 _tokens = purchaseTokens(_dividends, 0x0);
// fire event
emit onReinvestment(_customerAddress, _dividends, _tokens);
}
首先大概浏览一下 reinvest() 函数主体,仅有两个简单的加法,但是通常在减法溢出中会出现巨型整数,我们便开始探索 reinvest() 调用的函数。
首先引起我们注意的便是 myDividends(false) 函数,由于参数传入了false,我们就直接研究它最终调用的函数 dividendsOf(_customerAddress) 。
function dividendsOf(address _customerAddress)view
public
returns (uint256)
{
return (uint256) ((int256)(profitPerShare_ * tokenBalanceLedger_[_customerAddress]) - payoutsTo_[_customerAddress]) / magnitude;
}
Aha,看到减法了!
会不会就是在这里发生了溢出呢?
历史回放:精确找到溢出点带着这样的疑问,我们回溯了 0x368688a944059fdd657e7842d8762b05250bd45f3a2a16cbae1b29727023b00f 这笔交易的trace,我们跟着静态分析结果,直接在trace中将PC指针定位到了 dividendsOf 函数中。
发现在0x0a8c指针处执行了sub指令,并且sub指令在栈上的两个参数分别为0和 0x30d53a87137270000000000000000 减法、除法执行完毕后栈顶变成了 0xfffffffffffffffffffffffffffffffffffcf2ac578ec8d9 ,和event中的值完全相同。
果然,我们找到了发生溢出的地方,并且确定 reinvest() 函数使用了溢出后的值。
顺藤摸瓜:推理怎么构造溢出条件那么问题来了,我们有什么办法能让这个减法溢出呢?
回想sub指令的参数:
第一个参数 0 对应 profitPerShare_ * tokenBalanceLedger_[_customerAddress] 第二个参数 0x30d53a87137270000000000000000 对应 payoutsTo_[_customerAddress] 思路来了,我们需要达成2个目标: profitPerShare_ * tokenBalanceLedger_[_customerAddress] payoutsTo_[_customerAddress] 首先我们看 目标1 ,对于 profitPerShare_ 变量,纵观全部代码,只有增加没有减,无法有效地将这个值变为0,那么只有 tokenBal