免责声明:凤梨财经作为开放的信息发布平台,所提供的所有内容与凤梨财经观点和立场无关,且不构成任何投资理财建议。投资有风险,入市需谨慎。

学习区块链(五百六十八)

2019-01-17 阅读量 954
摘要:比特币任意盗币漏洞浅析2

比特币任意盗币漏洞浅析2

BLOCK COMMUNITY



比特币漏洞CVE-2010-5141,这个漏洞可以导致攻击者盗取任何人的比特币,危害十分严重。万幸的是该漏洞并没有被利用过,而且修复速度极快。该漏洞与比特币的脚本引擎有关,对公链开发者具有参考意义;从当下市场上的公链来看,大多数都内置了虚拟机或脚本引擎,以此来打造DApp生态,同时也是区块链的大趋势之一。


三、CVE-2010-5141漏洞分析

 

了解以上知识后就可以开始分析CVE-2010-5141漏洞了。笔者下载了存在漏洞的版本0.3.3,下载地址在github的bitcoin仓库中找release.


script.cpp代码片段VerifySignature函数:

执行每个交易都会调用VerifySignature函数,该函数用于执行脚本以及验证签名,然后给交易标注是否被花费。


首先txFrom参数是上一笔交易,txTo是正在处理的这笔交易,如果理解了上面的章节中讲解过的UTXO模型,这里就不难理解了。重点看1125行代码,调用了EvalScript函数,第一个参数是txin.scriptSig(包含签名信息)+分隔操作码OP_CODESEPARATOR+ txout.scriptPunKey(包含公钥信息、OP_CHECKSIG指令),这些就是EvalScript函数要执行的脚本,后面的参数可以暂时不用管,只要EvalScript函数返回true那么这笔验证签名就通过了。EvalScript函数如何才能返回true?

首先堆栈不能是空的,然后栈顶强转bool后必须是true。笔者简单解读为必须要有栈顶而且值不能是0。


然后再看关键的OP_CHECKSIG操作码

(注:由于操作码太多,本文针对OP_CHECKSIG操作码)

上面代码不难理解,调用Checksig函数来验证签名,然后返回给FSuccess变量,如果为真就压一个vchTrue(非0)进栈,否则就压一个vchFalse(0)进栈;如果opcode是OP_CHECKSIGVERIFY而不是OP_CHECKSIG的话就让vchTrue出栈,并开始执行后面的操作码。


按照OP_CHECKSIG的正常逻辑,验证签名不成功的话一定会有一个vchFalse留在栈顶,虽然堆栈不为空,但是栈顶的值是0,还是会返回false。


回到之前的代码,EvalScript函数执行的脚本主要由以下变量组成:


1. txin.scriptSig

2. OP_CODESEPARATOR

3. txout.scriptPubKey


第一个签名信息可控,第二个不用管只是一个分割符,会被删掉,第三个不可控,因为是来自上一个交易。


第一个变量可控,而且是作为脚本执行,所以这个变量可以不仅仅是签名信息,还能是opcode,这就好办了,下面需要引用一个神奇的操作码 OP_PUSHDATA4,我们看看比特币0.3.3是怎么处理这个操作码的:

首先获取操作码。如果操作码的值小于或者等于OP_PUSHDATA4的值就把vchPushValue全压入堆栈,再跟进GetOp函数

经翻阅源码,发现OP_PUSHDATA4指令被定义为78,所以当函数遇到OP_PUSHDATA4时,指针会向又移78+4=82位,其中78位数据会被压入栈,所以只要在txin.scriptSig中注入一个OP_PUSHDATA4操作码,后面的公钥信息以及OP_CHECKSIG指令都会被”吃掉”并作为参数入栈,当指针走到最后时,进行最后的判断:


1. 堆栈是否为空?不是

2. 栈顶元素是否为0?不是


于是满足条件EvalScript函数返回true,然后VerifySignature函数也返回true,既然签名验证都绕过了,那别人的比特币便可以任意花费了。


四、CVE-2010-5141漏洞修复方案

 

笔者下载了比特币版本0.3.8,直接看关键部分代码

修复方案也很明确,把scriptSig和scriptPubkey分开执行,无论你scriptSig里面有什么也不会影响到后面的scriptPubkey执行。




·END·
 

区块公社

欢迎加入开发者社区

与技术大咖一起成长
声明:本文观点仅代表作者本人,不代表凤梨财经赞同或证实其观点描述。如若侵权,请联系我们删除文章。