在以太坊上安裝 “炸彈”_ETH

本文是講解我在go-ethereum客戶端中發現的Bug系列的第二篇。如果你還不了解它，請看第一篇。

這篇文章要講的bug位于Geth客戶端的狀態下載器內，它可以用來欺騙下載器，使之不能與主網正確同步。攻擊者可以利用這個bug給以太坊區塊鏈設置陷阱、任意觸發硬分叉。

同步

當你想運行一個以太坊節點的時候，首先必須同步上整個網絡，即，下載和計算構建最新區塊時刻的區塊鏈狀態所需的所有數據。根據用戶自身的需要，同步方式可以在安全性和速度之間有所取舍，所以Geth支持兩種同步模式：完全同步和快速同步。

顧名思義，完全同步就是獨立地執行完對以太坊區塊鏈的整個同步過程。這就意味著，你的Geth節點會下載和驗證每個區塊的工作量證明，此外，它還會計算區塊內的每一條事務；由此，節點可以在本地生成區塊鏈的最新狀態，而無需信任其它節點。這種模式更安全，但速度上有很大犧牲。Geth的完全同步可能要花幾天乃至幾周不等的時間。

但是，有些用戶可能不想等上幾周。也許他們的時間很緊，又或者，他們并不覺得這種犧牲是值得的。因此，Geth提供了一個模式：在近期的某個區塊之前的所有鏈數據，都用更快的方法來同步，只有pivot區塊之后的區塊鏈，才使用更慢的完全同步算法。在快速同步模式中，Geth會下載區塊，但僅隨機選取一些區塊來驗證工作量證明，而不是每個區塊都驗證；而且，它也將不再自己執行事務，而是從網絡中的其它節點處直接下載狀態樹，以此獲得最終的區塊鏈狀態。

當然，Geth也不會盲目相信其他節點發回的狀態樹數據，因為一個惡意的節點也可以聲稱某個賬戶只有一點點錢。要理解Geth如何能辨別收到的數據正確與否，我們先要理解默克爾帕特里夏樹。

Pax Treasury在以太坊網絡銷毀超2225萬枚PAX:Whale Alert數據顯示，北京時間3月5日04:25，Pax Treasury在以太坊網絡銷毀22,253,448枚PAX，銷毀哈希為：0x25b635da73e48a1fdbc15bc40b7bd202235cb22f688af36a6f77b236a931036c。[2021/3/5 18:16:55]

默克爾帕特里夏樹

默克爾帕特里夏樹是Geth客戶端中的一種關鍵數據結構，它是默克爾樹和帕特里夏樹兩者的結合。

簡而言之，帕特里夏樹會基于數據的前綴將數據存到一個樹狀結構中。相較于其它技術來說，帕特里夏樹本身非常適合存儲相似的數據，盡管在速度上可能有所犧牲。下面來看看，多個以r開頭的單詞是如何存到一棵帕特里夏樹里的。

-圖源：https://commons.wikimedia.org/w/index.php?curid=2118795-

接著來說說默克爾樹。在一棵默克爾樹上，每個葉節點是數據的哈希值，每個非葉節點是它的兩個子節點的哈希值。如果用戶知道了默克爾樹的默克爾根，并且想要確認某個數據是否存儲在這棵樹里，他只需要用到這棵樹上的一條路徑，這條路徑所涉及的節點數量只跟葉節點數量的對數成正比。如下圖所示，假設用戶要證明L2存儲在這棵樹里，他只需提供Hash0-0和Hash1。接著，驗證者生成Hash0-1、Hash0和TopHash，再將TopHash與其所預期的默克爾根進行比較。

USDC Treasury在以太坊網絡增發約4112.58萬枚USDC:金色財經報道，Whale Alert數據顯示，北京時間12月12日00:24起，USDC Treasury在以太坊網絡增發兩筆共約4112.58萬枚USDC。隨后在00:37，USDC Treasury將4000萬枚USDC轉入0x28c5開頭未知錢包地址。[2020/12/12 14:58:09]

-圖源：https://commons.wikimedia.org/w/index.php?curid=18157888-

默克爾帕特里夏樹將帕特里夏樹基于前綴的存儲結構與默克爾樹相結合，創造出了一種新的數據結構，不僅支持密碼學驗證方式，而且還能保持良好的運行時性能。

在默克爾帕特里夏樹中，鍵和值都是任意的字節串。要想獲得一個鍵的值，我們首先要將這個鍵轉換成一個十六進制字符序列，即，將每個字節變成兩個十六進制字符。然后，我們要先根據序列中的第一個字符，向根節點查詢下一個節點是什么；得到此子節點后，再根據第二個字符向下查詢節點，依次類推，直至找到最后一個節點，獲得最后一個字符。

在下面這個例子中，我們可以看到默克爾帕特里夏樹實際上包含三種不同的節點。擴展節點是經過優化的，負責存儲一連串字符。在下圖所示案例中，根節點存儲了所有以a7開頭的鍵，無需使用兩個不同的節點來代表a和7。分支節點包含每個可能字符的指針以及一個額外的空檔來存儲當前節點的值。最后，葉節點的key-end字段必然與其所存儲的key的后綴相匹配1。

Tether在以太坊網絡增發1.2億枚USDT:金色財經報道，WhaleAlert數據顯示，北京時間07月28日19:05，Tether公司在以太坊網絡增發1.2億美元USDT，增發哈希為：0x383b8aec6ba867024620bc672ff910d91b5981138b549407d905e956c422b940。對此，Bitfinex首席技術官PaoloArdoino表示，以太坊網絡補充了1.2億USDT的庫存。請注意，這是一筆已授權但未發行的交易，這意味著該金額將用作下一次發行請求的庫存。[2020/7/28]

狀態樹

既然我們已經知道默克爾帕特里夏樹是如何運作的了，我們可以開始探究什么是全局狀態樹。

區塊鏈的絕大部分數據都存儲在全局狀態樹中。雖然將狀態樹作為獨一無二的實體包含在每個區塊內這個設想看似便利，但實際上每個區塊都要復制完整的狀態樹是極其低效的，因為每個區塊之間的狀態樹只有細微差別。Geth采用了不同的方案。你可以想象一下，Geth維護了一個MPT節點池。每個區塊的狀態樹只是整個池的子集。每當有新的區塊被挖出或導入，就會有新的MPT節點被添加到池中。

要想識別節點池中的根節點，我們必須查詢區塊頭。每個區塊都包含一個指向stateRoot的字段，該字段指向MPT的根節點。這樣一來，Geth就可以使用我們上文描述的算法查詢賬戶信息，如任意地址的nonce或余額。

Tether在以太坊上增發1.2億USDT 已授權未發行:Tokenview穩定幣數據監測，Tether于今日21:20在以太坊上增發1.2億USDT。這是Tether今年第23次印鈔，今年以來的印鈔數量已達19.4億USDT。[2020/3/30]

請注意，如果是合約的話，賬戶狀態將包含一個非空的storageRoot字段和codeHash字段。storageRoot字段指向另一個根節點。但是，此時所涉及的MPT的用途是存儲該合約的存儲項數據；該MPT會將存儲空檔作為鍵，將原始數據作為值。

為了將MPT存儲在磁盤上，Geth選擇使用LevelDB作為數據庫。然而，LevelDB是只支持字符串到字符串映射的鍵值數據庫，MPT不是字符串到字符串映射。為了解決這個問題，Geth將每個節點編寫成鍵值對，從而實現全局狀態樹的扁平化：將節點的哈希值作為鍵，將序列化的節點作為值。這樣一來，Geth就能查詢任意區塊的狀態樹，因為區塊頭中的stateRoot字段就是鍵，可以用來查找LevelDB中的序列化MPT節點。

樹混亂

因此，假設你啟動了一個Geth節點，并使用快速同步模式連接到網絡。Geth將快速下載所有區塊數據，但是不執行任何事務。不久之后，你將得到一個沒有狀態信息的區塊鏈。此時，Geth通過狀態下載器從pivot區塊的stateRoot開始進行同步。

動態 | WBTC將于今日在以太坊區塊鏈上推出:據ethnews報道，Wrapped bitcoin (WBTC)將于北京時間1月31日9：00在以太坊區塊鏈上推出。據早先報道，WBTC將1：1由比特幣支持。該計劃背后的公司包括多中心交易平臺初創公司Kyber Network和Republic Protocol，以及加密貨幣托管公司BitGo。[2019/1/31]

來源：https://github.com/ethereum/go-ethereum/blob/87c463c47aa6d10a55a4b860bab3d53199814d01/trie/sync.go#L246-L255

狀態下載器會向對等節點請求與MPT節點鍵對應的MPT節點數據。收到結果后，狀態下載器會對節點數據進行哈希計算，驗證得到的哈希值是否與節點鍵相同。如果相同，狀態下載器就知道這個MPT節點是正確的，然后就會發送更多請求，請求該MPT節點的每個子節點。

來源：https://github.com/ethereum/go-ethereum/blob/87c463c47aa6d10a55a4b860bab3d53199814d01/trie/sync.go#L205-L218

如果遇到葉節點，賬戶的代碼和狀態樹將排隊等待被獲取。

來源：https://github.com/ethereum/go-ethereum/blob/87c463c47aa6d10a55a4b860bab3d53199814d01/core/state/sync.go#L31-L39

請注意同步子樹和原始條目之間的區別。雖然二者都下載任意的數據塊，但是如果同步器預期要同步的是原始樹，它會將該數據解析為樹節點，并開始同步其子節點。另一方面，如果同步器預期要同步的是原始條目，它會將數據塊寫入數據庫并終止。

來源：https://github.com/ethereum/go-ethereum/blob/87c463c47aa6d10a55a4b860bab3d53199814d01/trie/sync.go#L183-L197

另外還要注意的是，Geth想要多次向同一個節點發送請求的情況并不少見。例如，如果兩個合約存儲相同的數據，那它們的stateRoot可能相同，也有可能出現兩個賬戶擁有同樣的賬戶狀態。在這些情況下，Geth不想讓網絡充斥這些請求，因此會將它們合并。

來源：https://github.com/ethereum/go-ethereum/blob/87c463c47aa6d10a55a4b860bab3d53199814d01/trie/sync.go#L246-L255

然而，同步器不會合并請求的raw屬性。這意味著，如果已經有了一個未決的原始條目請求，但是同步器又安排了一個具有相同哈希值的子樹請求，后者將被合并，最終結果還是只有一個原始條目請求。

請記住，原始條目請求不會為了同步子節點而處理節點。這意味著，如果我們能以某種方式在原始條目和子樹節點之間引發沖突，我們就能讓Geth同步一個不完整的狀態樹。另外，遇到一個本地不存在的樹節點時，Geth不會退出，這等于是假設，如果下載器報告同步成功，這種情況就不會發生。這就意味著，缺少一個樹節點的Geth節點在行為上與其它完全同步樹的節點截然不同。

那么，如何引發沖突呢？事實證明非常簡單：我們只需用我們控制的某個合約的序列化狀態根部署另一個合約，因此該合約代碼的哈希值必定與狀態根哈希值相同，這就意味著如果合約代碼先同步，另一個合約的狀態樹不會被全部下載下來。

綜上

如果有人利用這個漏洞作惡，需完成要多個步驟并等待很長時間。

首先，我們部署一個合約。這個合約應該有一個獨一無二的stateRoot，從而避免與這個stateRoot相關的MPT節點提前同步。

現在我們就大功告成了。當新的Geth節點使用快速同步加入網絡時，它們會先請求Exploit合約，同步其狀態子樹及代碼。當Exploit合約的代碼被同步時，它會創建一個看起來與Discrepancy的狀態根請求完全相同的原始條目請求，但它不會被當作子樹請求處理。這意味著，該節點永遠不會下載Discrepancy的狀態trie，因此未來讀取magic的請求將返回0而非1。

經過足夠長的時間后，我們要做的就是調用Hardfork.hardfork(discrepancy)。每個正確同步整個網絡的節點都會看到一個回滾交易，而每個使用快速同步加入網絡的Geth節點都會看到一個成功的交易。這將導致一個區塊產生兩個不同的狀態根，也就是說我們可以隨心所欲地觸發鏈分裂。

Geth團隊通過處理PR#21039中的樹讀取錯誤快速解決了該攻擊，然后通過區分PR#21080中的代碼部分和樹部分完全修復了這個漏洞。

結論

這是一個非常有趣的漏洞，它可以讓攻擊者在以太坊網絡上設置一個“炸彈”，并隨時引爆，從而導致所有使用快速同步的Geth節點從主網中分叉。這個陷阱利用的是Geth的同步和數據存儲代碼中極其復雜的邏輯，這或許是它很長時間來都沒有引起人們注意的原因。

敬請期待本系列的第三篇也是最后一篇文章。在這篇文章中，我們將探索Geth客戶端的最新bug，具體細節不便透露。

腳注

從技術層面來說，Geth中的值節點不包含后綴。你可以將其理解成一個后面跟著值節點的擴展節點。

實際上，Geth使用的是“安全的trie”，即，通過SHA-3算法對所有鍵進行哈希計算，從而確保所有鍵都是固定長度。

原文鏈接:https://samczsun.com/booby-trapping-the-ethereum-blockchain/

作者:samczsun

翻譯&校對:閔敏&阿劍

Tags：ETHGETHGETTHE男的用ethereal說明什么togetherbnb作弊碼TogetherBNB和娜娜互動Slurp The Dip

Bitcoin