本文说的其实不算是漏洞,更像是一个项目方的后门,也是需要注意的,尤其是使用者需要警惕的。
这个案例告诉我们:开源给你看的合约代码,未必是实际执行的代码。
一、案例说明
合约开发者暴露给外部的合约如下:
contract Foo {
Bar bar;
constructor(address _bar) {
bar = Bar(_bar);
}
function callBar() public {
bar.log();
}
}
contract Bar {
event Log(string message);
function log() public {
emit Log("Bar was called");
}
}
这个Foo合约是给使用者操作的合约,如果我们单看这两个合约,似乎没看到什么问题。但是请注意这里的构造函数,初始化了Bar合约的地址,但是我们并不是非得传入Bar合约的地址,我们可以传入另外一个钓鱼合约的地址,如下:
contract Mal {
event Log(string message);
function log() public {
emit Log("Mal was called");
}
}
这个Mal合约,并没有暴露给外界,而且有和Bar合约一样的方法log,这个合约部署完成后,Foo合约用Mal合约地址进行初始化,这样使用者在调用callBar的时候,实际上调用的是Mal合约上的log方法。
这种后门是比较隐蔽的,如果没有看到它每一步的部署,很可能会被项目方骗。
二、预防方法
- 在构造函数中初始化新的合约
- 公开外部合同的地址,以便审查外部合同的代码
contract Foo {
Bar public bar;
constructor() public {
bar = new Bar();
}
function callBar() public {
bar.log();
}
}
可以看到改进后,bar的可见性从默认的internal变成了public;此外,constructor也不用合约地址初始化了,而是在里面new了Bar合约,这样就保证bar变量确实是Bar合约的地址,自行证明了合约的清白性。
