スマートコントラクト・セキュリティ最新事情

Transcript

1. スマートコントラクト・セキュリティ最新事情 岡 洋平 Road to Devcon 4.0, 2019/09

2. A G E N D A 1. Smart Contractsについて 2.

   Quantstampについて 3. Smart Contract Vulnerabilities
 4. .transfer() vs .send() vs .call()

3. About Smart Contracts • 取引の代替⼿手段
 • Trustless and Decentralized
 •

   過去２年年間で約２兆円以上が
 スマコンによって調達されている
 • スマコンの数は急増中
 


4. • まだ新しい技術、概念 • 多額のお⾦金金を管理理することができる • ⼈人為的なミスが多い • ⼀一度デプロイするとアップデートしにくい
 
 The

   Blockchain is Secure Smart Contracts are Not

5. Quantstampについて • Richard MaとSteven Stewart が2017に創業 • スマコンのセキュリティ・プロトコールを開発 • Y

   Combinator を卒業 (batch W2018) • コード監査によって1000億円以上を確保
 • 取引所のセキュリティアドバイザー

6. None

7. function withdraw() public { # ユーザーの残⾼高を取得 amountToWithdraw = userBalances[msg.sender]; 　

   # 残⾼高の引き出し、fallbackを使⽤用して無限に引き出すことが可能 require(msg.sender.call.value(amountToWithdraw)()); # ユーザーの残⾼高を更更新 userBalances[msg.sender] = 0; 　 　} Example: The DAO Hack

8. function withdraw() public { # ユーザーの残⾼高を取得 amountToWithdraw = userBalances[msg.sender]; 　

   # 残⾼高の引き出し、fallbackを使⽤用して無限に引き出すことが可能 require(msg.sender.call.value(amountToWithdraw)()); # ユーザーの残⾼高を更更新 userBalances[msg.sender] = 0; 　 　} 当時のレートで約５０億円が流失… Example: The DAO Hack smart contact #fallback function
 function () public { …. }

9. function withdraw() public { # ユーザーの残⾼高を取得 amountToWithdraw = userBalances[msg.sender]; 　

   # ユーザーの残⾼高を更更新 userBalances[msg.sender] = 0; # fallbackを使⽤用しても無限に引き出すことはできない require(msg.sender.call.value(amountToWithdraw)()); } Example: The DAO Hack smart contact #fallback function
 function () public { …. }

10. Proposed Alternate Solution (2017- early 2019) msg.address.transfer(amount) msg.address.send(amount) msg.address.call.value(amount)() avoid

    prefer

11. .transfer() vs .send() vs .call() address.call.value() address.send() address.transfer() adjustable gas

    yes no no gas limit all/setable 2300 2300 return value on error FALSE FALSE exception

12. Assumption

13. Assumption Gas costs are constant

14. Assumption Gas costs are constant

15. Constantinople Hard Fork Deployment

16. EIP 1283: Net gas metering for SSTORE without dirty maps

    Before Constantinople After Constantinople all SSTORE operations > 5000 gas SSTORE operation > 200 gas > 2300 gas limit > 2300 gas limit
17. None

18. Istanbul Hard Fork

19. Istanbul Hard Fork

20. Assumption Gas costs are constant

21. Consensys Recommendation msg.address.transfer(amount) msg.address.send(amount) msg.address.call.value(amount)()

22. use checks-effects-interaction pattern Consensys Recommendation #1

23. function withdraw() public { # check amountToWithdraw = userBalances[msg.sender]; 　

    # effects userBalances[msg.sender] = 0; # interaction require(msg.sender.call.value(amountToWithdraw)()); } checks-effects- interaction pattern smart contact #fallback function
 function () public { …. }

24. Consensys Recommendation #2 use re-entrancy guards

25. re-entrancy guards

26. function withdraw() public nonReentrant { # check amountToWithdraw = userBalances[msg.sender];

    　 # interaction require(msg.sender.call.value(amountToWithdraw)()); # effects userBalances[msg.sender] = 0; } re-entrancy guards smart contact #fallback function
 function () public { …. }

27. Questions?