-
-
[原创]Tact智能合约安全实践:TON生态系统中的常见错误
-
发表于: 2024-12-19 19:11
-
TON(The Open Network)以其创新特性和强大的智能合约性能,不断拓宽区块链技术的边界。基于早期的区块链平台(如以太坊等)的经验与教训,TON为开发者提供了一个更加高效且灵活的开发环境。其中推动这一进步的关键要素之一便是Tact编程语言。
Tact是专为TON链设计的一种全新编程语言,以高效与简洁为核心目标。它易于学习和使用,并与智能合约完美契合。Tact是一种静态类型语言,拥有简单的语法和强大的类型系统。
尽管如此,开发者在使用FunC时遇到的许多问题,在Tact开发中仍然存在。以下将结合审计实践案例,分析Tact开发中的一些常见错误。
数据结构
可选地址
Tact语言简化了声明、解码和编码的数据结构。然而,开发者仍需保持谨慎。我们来看一个例子:
这是根据TEP-74[1]标准用于转移jetton的内部传输(InternalTransfer)消息声明。请注意response_destination的声明,它是一个地址(Address)类型。在Tact中,要求地址必须是非零地址。然而,jetton标准的参考实现[2]允许零地址(addr_none),它由两个零位表示。这意味着用户或其他合约可能会尝试发送带有零响应地址的jetton,而该操作会意外失败。
此外,如果用户发送给其钱包的Transfer消息允许设置response_destination,而从发送方钱包到接收方钱包的InternalTransfer消息却不支持该参数,那么jetton将会“飞出”,意味着jetton无法到达目标地址,最终导致丢失。稍后,我们将讨论一种例外情况,即如何正确处理被退回的消息。息会被妥善处理。
在这种情况下,允许零地址的更好结构声明应为Address?,但在Tact中,将可选地址传递到下一条消息目前较为繁琐。
数据序列化
在Tact中,开发者可以指定字段的序列化方式。
本例中,totalAmount将序列化为coins,而releasedAmount将序列化为int257(默认为Int)。releasedAmount可以是负值,并且将占用257位。在大多数情况下,省略序列化类型不会带来问题;然而,如果数据涉及到通信,这就变得至关重要。
以下是我们审计的项目中的一个例子:
该数据结构是由NFT项目用作对链上get_static_data[3]请求的回复。根据标准,回复应该是:
上述索引是uint256(而不是int257),这意味着返回的数据将被调用者错误解读,从而导致不可预测的结果。很可能的结果是report_static_data处理程序会发生回滚,消息流也会因此中断。这些例子说明了为什么即使在使用Tact时,考虑数据序列化也是至关重要的。
有符号整数
不指定Int的序列化类型可能会导致比上述示例更严重的后果。与coins不同,int257可以为负值,这常常会让程序员感到意外。例如,在Tact的实时合约中,看到amount: Int是极其常见的。
这种写法本身并不一定意味着存在漏洞,因为该金额(amount)通常会被编码到JettonTransfer消息中,或传递到send(SendParameters{value: amount}),后者使用的是coins类型,不允许负值。然而,在一个案例中,我们发现一个拥有大量余额的合约,它允许用户将所有值设置为负数,包括奖励、手续费、金额、价格等。因此,恶意行为者可能利用这一漏洞进行攻击。
并发
以太坊链的开发者必须注意重入攻击,即在当前函数执行完成之前,能够再次调用同一个合约的函数。而在TON链上,重入攻击是不可能的。
由于TON是一个支持异步和并行智能合约调用的系统,追踪处理动作的顺序可能变得更加困难。任何内部消息都会被目标账户接收,交易结果会在交易本身之后处理,但并没有其他保证(有关消息传递的更多信息请参见相关文档[4])。
我们无法预测消息3或消息4哪个会先被送达。
在这种情况下,中间人攻击(Man-in-the-Middle Attack)[5]在消息流中是高发的攻击类型。为了确保安全,开发者应该设定每条消息的传递时间为1到100秒,在此期间,任何其他消息都有可能被传递。以下是一些可以提高安全性的其他注意事项:
1. 不要检查或更新合约状态以供消息流的后续步骤使用。
2. 使用携带值模式(carry-value pattern)[6]。不要直接发送有关值的信息,而是与消息一起发送。
以下是一个存在漏洞的真实例子:
在上述示例中,发生了以下步骤:
1. 用户通过collection_jetton_wallet向NftCollection发送jetton。
2. TransferNotification被发送到NftCollection合约,合约记录了received_jetton_amount。
3. 合约将jetton转发给NftCollection的所有者。
4. 向NftCollection发送Excesses消息,作为response_destination。
5. NftItem在Excesses处理程序中部署,使用received_jetton_amount。
这里有几个问题需要注意:
首先,Excesses消息并不能保证按照jetton标准被送达。如果没有足够的gas费来发送Excesses消息,它将被跳过,消息流将停止。
其次,更新received_jetton_amount并在后续使用它会使系统容易受到并发执行的影响。其他用户可能会同时发送另一个金额并覆盖已保存的金额,这也可能会被恶意利用以从中获利。
在并发的情况下,TON与传统的中心化多线程系统相似。
处理退回消息
许多合约忽视了退回消息的处理。然而,Tact使这一过程变得简单明了:
要决定消息是否应以可退回模式发送,可以考虑两个因素:
1. 如果消息失败,谁应该收到附加的Toncoin?如果目标应该接收这些资金,而不是发送合约,那么就以非可退回模式[7]发送消息。
2. 如果下一个消息被拒绝,消息流会发生什么?如果通过处理退回的消息可以恢复一致的状态,那么最好进行处理。如果不能恢复,最好修改消息流。
以下是jetton标准[8]中的一个例子:
1. Excesses消息以非可退回模式发送,因为合约不需要返回toncoins。
2. 以非可退回模式发送TransferNotification消息,因为forward_ton_amount属于调用者,合约不会保留它。
3. 相反,BurnNotification是以可退回模式发送,因为如果它被jetton主合约退回,钱包需要恢复其余额,以保持total_supply一致。
4. InternalTransfer也是可退回的。如果接收方拒绝资金,发送方的钱包必须更新余额。
请记住以下几点:
1. 退回消息仅接收256位[9]的原始消息;在消息识别之后,有效数据仅有224位。因此,你将得到有限的关于失败操作的信息,通常是存储为coins的某个金额。
2. 如果没有足够的gas费,退回的消息将无法送达。
3. 退回消息本身无法再次被退回。
返回Jetton
在某些情况下,撤销和处理退回消息不是一个选项。最常见的例子是当你的合约收到TransferNotification关于到达的jetton时,退回该消息可能会导致jetton永远被锁定。相反,你应该使用try-catch块[10]来处理。
让我们来看一个例子。在EVM中,当一笔交易被撤销时,所有结果都会被回滚(除了gas——它会被矿工收取)。但在TVM中,“交易”被分解为一系列消息,因此只回滚其中一条消息很可能会导致“合约组”状态不一致。
为了解决这个问题,必须手动检查所有条件,并在紧急情况下来回发送修正消息。然而,由于在没有异常的情况下解析有效载荷非常繁琐,因此最好使用try-catch块。
下面是一个典型的Jetton接收代码示例:
请注意,如果gas费不足,即使是将jettons发送回去也无法正常工作。此外,需要注意的是,我们是通过sender()的“钱包”返还jetton,而不是通过我们合约的实际jetton钱包返还。这是因为任何人都可以手动发送TransferNotification消息来欺骗我们。
管理Gas费
在审计TON合约时,最常见的问题之一就是gas费管理问题。主要原因有两个:
1. 缺乏gas费控制可能导致以下问题:
消息流执行不完整: 部分操作会生效,而另一部分由于gas不足而被回滚。例如,如果奖励获取操作在jetton钱包中完成,但销毁份额操作在jetton主合约中被忽略,那么整个合约组将变得不一致。
用户可以提取自己的合约余额: 此外合约中可能会积累过多的Toncoin。
2. TON合约开发者难以管理和控制gas: Tact的开发者需要通过测试来获得gas消耗量,并在开发过程中每次更新消息流时都更新相应的数值。
我们建议的做法如下:
1. 确定“入口点”:这些是所有可以接受来自“外部”消息的消息处理器,即来自终端用户或其他合约(如Jetton钱包)。
2. 对于每个入口点,绘制所有可能的路径并计算gas消耗。使用printTransactionFees()(可在@ton/sandbox中找到,该工具随Blueprint[11]一起提供)。
3. 如果可以在消息流过程中部署合约,则假设它将被部署。部署将消耗更多的gas费和存储费用。
4. 在每个入口点,根据情况添加最低的gas要求。
5. 如果处理器不发送更多消息(消息流在此终止),那么最好返回Excesses,如下所示:
不发送Excesses也是可以的,但对于像Jetton Master这样的高吞吐量合约,存在大量BurnNotification消息或大量传入转账的合约,累计金额可能会迅速增长。
6. 如果处理器只发送一条消息——包括emit(),实际上是一个外部消息——最简单的方式是通过forward()传递剩余的gas费(见上文)。
7. 如果处理器发送多条消息,或者如果通讯中涉及ton数量,那么计算应发送金额比计算应剩余金额要更容易。
在下一个例子中,假设合约希望将forwardAmount发送给两个子合约作为押金:
正如你所看到的,gas费管理需要高度关注,即使是在简单的情况下。请注意,如果你已经发送了消息,则不能在send()模式中使用SendRemainingValue标志,除非你故意想要从合约余额中支出资金。
结论
随着TON生态系统的发展,Tact智能合约的安全开发将变得越来越重要。虽然Tact提供了更高的效率和简洁性,但开发者必须保持警惕,避免常见的陷阱。通过了解常见错误并实施最佳实践,开发者可以充分开发Tact的潜力,创建强大而安全的智能合约。持续学习并遵循安全实践指南,将确保TON生态的创新能力得到安全有效地利用,从而为更安全、可信的区块链环境作出贡献。
[1] TEP-74: 905K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6@1L8$3&6Q4x3X3c8T1L8r3!0U0K9$3y4Z5j5h3W2F1i4K6u0r3g2p5g2b7M7#2)9J5c8X3u0D9L8$3u0Q4x3V1k6E0j5i4y4@1k6i4u0Q4x3V1k6@1k6i4S2@1i4K6u0r3x3o6l9%4y4q4)9J5k6r3A6W2N6s2c8G2L8Y4y4Q4x3X3c8K6N6r3q4F1k6r3q4J5k6q4)9J5k6h3#2V1i4K6t1K6x3g2)9J5k6s2c8J5j5h3&6K6k6X3g2J5
[2] 参考实现: e7bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6@1L8$3&6Q4x3X3c8T1L8r3!0U0K9$3y4Z5j5h3W2F1i4K6u0r3N6r3!0C8k6h3&6Q4x3X3c8U0L8$3&6@1M7X3q4U0N6q4)9J5c8R3`.`.
[3] get_static_data: f0aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6@1L8$3&6Q4x3X3c8T1L8r3!0U0K9$3y4Z5j5h3W2F1i4K6u0r3g2p5g2b7M7#2)9J5c8X3u0D9L8$3u0Q4x3V1k6E0j5i4y4@1k6i4u0Q4x3V1k6@1k6i4S2@1i4K6u0r3x3o6l9$3x3W2)9J5k6r3&6X3N6q4)9J5k6s2y4@1j5h3&6V1j5i4u0V1i4K6u0W2L8h3c8Q4x3U0x3J5i4K6u0V1k6$3g2@1i4K6g2X3M7%4c8S2N6r3W2U0i4K6g2X3k6r3q4@1j5b7`.`.
[4] 相关文档: e1aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2N6r3!0F1i4K6u0W2L8%4u0Y4i4K6u0r3k6r3g2$3k6h3I4G2M7q4)9J5c8Y4y4E0j5i4u0@1i4K6u0V1j5$3!0F1N6s2u0S2j5%4c8K6i4K6u0r3k6%4g2A6k6r3g2D9K9h3&6W2M7#2)9J5c8X3#2W2M7%4y4S2k6$3g2Q4x3X3c8V1k6h3I4A6N6X3g2J5P5g2)9J5k6r3N6#2j5i4u0S2L8Y4c8W2k6i4y4Q4x3U0y4E0k6i4y4K6j5h3N6W2i4K6u0V1k6r3g2D9K9i4k6W2M7Y4V1`.
[5] 中间人攻击: 7caK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2N6r3!0F1i4K6u0W2L8%4u0Y4i4K6u0r3k6r3g2$3k6h3I4G2M7q4)9J5c8Y4y4E0j5i4u0@1i4K6u0V1j5$3!0F1N6s2u0S2j5%4c8K6i4K6u0r3M7$3g2U0N6i4u0A6N6s2W2Q4x3V1k6K6k6h3y4#2M7X3g2Q4x3X3c8H3M7X3!0Y4M7X3q4E0L8h3W2F1k6#2)9J5x3K6y4Q4x3X3c8W2P5s2m8W2j5%4c8Q4x3X3c8S2i4K6u0V1L8h3q4F1i4K6u0V1K9h3&6Q4x3X3c8@1K9r3g2Q4x3X3c8E0K9h3c8V1L8r3g2Q4x3X3c8G2k6W2)9J5k6s2c8Z5k6g2)9J5k6r3#2W2M7%4y4S2k6$3g2Q4x3X3c8X3L8r3!0%4
[6] 携带值模式: 1b4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2N6r3!0F1i4K6u0W2L8%4u0Y4i4K6u0r3k6r3g2$3k6h3I4G2M7q4)9J5c8Y4y4E0j5i4u0@1i4K6u0V1j5$3!0F1N6s2u0S2j5%4c8K6i4K6u0r3M7$3g2U0N6i4u0A6N6s2W2Q4x3V1k6K6k6h3y4#2M7X3g2Q4x3X3c8H3M7X3!0Y4M7X3q4E0L8h3W2F1k6#2)9J5x3K6c8Q4x3X3c8#2M7$3g2Q4x3X3c8S2i4K6u0V1j5$3q4J5M7Y4W2Q4x3X3c8$3j5h3I4#2k6g2)9J5k6s2m8S2N6s2c8W2M7X3^5`.
[7] 非可退回模式: 4d4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2N6r3!0F1i4K6u0W2L8%4u0Y4i4K6u0r3k6r3g2$3k6h3I4G2M7q4)9J5c8Y4y4E0j5i4u0@1i4K6u0V1j5$3!0F1N6s2u0S2j5%4c8K6i4K6u0r3k6%4g2A6k6r3g2D9K9h3&6W2M7#2)9J5c8X3&6G2L8W2)9J5k6r3u0G2N6h3&6U0j5h3u0D9k6g2)9J5k6r3#2W2M7%4y4S2k6$3g2K6
[8] jetton标准: fbaK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6@1L8$3&6Q4x3X3c8T1L8r3!0U0K9$3y4Z5j5h3W2F1i4K6u0r3g2p5g2b7M7#2)9J5c8X3u0D9L8$3u0Q4x3V1k6E0j5i4y4@1k6i4u0Q4x3V1k6@1k6i4S2@1i4K6u0r3x3o6l9%4y4q4)9J5k6r3A6W2N6s2c8G2L8Y4y4Q4x3X3c8K6N6r3q4F1k6r3q4J5k6q4)9J5k6h3#2V1i4K6t1K6x3g2)9J5k6s2c8J5j5h3&6K6k6X3g2J5
[9] 仅接收256位: 3c7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2N6r3q4U0N6q4)9J5k6r3I4S2L8X3N6Q4x3X3g2G2M7X3N6Q4x3V1k6T1L8$3!0C8i4K6u0r3j5X3!0#2L8X3y4W2k6q4)9J5c8W2)9J5x3$3y4S2N6X3g2S2N6s2x3`.
[10] try-catch块: 69fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2N6r3q4U0N6q4)9J5k6r3I4S2L8X3N6Q4x3X3g2G2M7X3N6Q4x3V1k6T1L8$3!0C8i4K6u0r3M7%4c8S2N6r3g2E0k6h3&6@1M7#2)9J5x3%4c8J5P5g2)9J5k6r3y4S2N6r3y4Z5
[11] Blueprint: 601K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6@1L8$3&6Q4x3X3c8G2M7X3N6Q4x3V1k6T1L8s2g2W2M7s2u0A6L8Y4c8Q4x3@1k6@1j5h3u0Q4x3@1c8J5k6h3q4V1L8h3g2Q4x3X3c8G2N6W2)9J5k6r3k6A6L8r3g2Q4x3U0y4G2N6X3g2J5N6X3W2W2N6H3`.`.
|
|
|---|---|
