近期我們的Web3 安全漏洞檢測產品發現了一個整數溢出的漏洞。可以導致Aptos節點崩潰,造成拒絕服務。
來源:Numen Cyber Labs
1.前言
相對於ethereum的soldity語言,move語言最近越來越火,而且由於其自身相對於soldity的強大優勢,越來越受到重視。其中move語言被用於很多明星項目,比如Aptos,sui。近期我們的Web3 安全漏洞檢測產品發現了一個整數溢出的漏洞。可以導致Aptos節點崩潰,造成拒絕服務。本文通過對該漏洞的介紹,希望大家對move語言以及其安全性有更多的認識和理解。作為move語言安全性研究的領導者,我們會持續關注move語言的安全性,為move的生態安全做出我們的貢獻。
2.Move語言的重要概念
模塊和腳本
Move 有兩種不同類型的程序:模塊(Modules)和腳本(Script)。模塊是定義結構類型以及對這些類型進行操作的函數的庫。結構類型定義了Move 的全局存儲的模式,模塊函數定義了更新存儲的規則。模塊本身也存儲在全局存儲中。腳本是可執行文件的入口點,類似於傳統語言中的主函數main。腳本通常調用已發布模塊的函數來更新全局存儲。腳本是臨時代碼片段,不會發佈在全局存儲中。一個Move 源文件(或編譯單元)可能包含多個模塊和腳本。然而,發布模塊或執行腳本都是獨立的虛擬機(VM)操作。
對於熟悉操作系統的人來說,move的module就類似系統的可執行文件運行的時候加載的動態庫模塊,而script類似主程序。用戶可以通過自己編寫script,來訪問全局存儲,包括調用module模塊的代碼。
全局存儲
Move 程序的目的是讀取和寫入樹形的持久全局存儲。程序不能訪問文件系統、網絡或任何此樹以外的數據。
在偽代碼中,全局存儲看起來像:
從結構上講,全局存儲是一個森林(forest),這個森林由以賬戶地址(address)為根的樹組成。每個地址可以存儲資源(resource)數據和模塊(module)代碼。如上面的偽代碼所示,每個地址(address)最多可以存儲一個給定類型的資源值,最多可以存儲一個給定名稱的模塊。
MOVE虛擬機原理
movevm 與evm虛擬機都一樣,需要將源碼編譯成字節碼,然後在虛擬機中執行,下圖是整體的流程:
1.將字節碼通過函數execute_script被加載進來
2.執行load_script函數,這個函數主要用來反序列化字節碼,併校驗字節碼是否合法,如果校驗失敗,就會返回失敗
3.校驗成功之後就會開始執行真正的字節碼代碼
4.執行字節碼,訪問或修改全局存儲的狀態,包括資源,modules
注:move語言還有很多特性,這裡我們就不一一介紹,後續我們會從安全性角度繼續分析move語言的特性。
3.漏洞描述
本漏洞主要設計驗證模塊,在講具體漏洞之前先介紹下驗證模塊的功能以及StackUsageVerifier::verify。
驗證模塊
通過前面,我們知道在真正執行字節碼代碼之前,會有驗證字節碼的環節,而驗證環節有可以細分為好多子過程,
分別是:
-
BoundsChecker,邊界檢查,主要是用來檢查module與script的邊界安全。具體包括檢查signature,constants等的邊界
-
DuplicationChecker, 該模塊實現了一個檢查器,用於驗證CompiledModule 中的每個向量是否包含不同的值
-
SignatureChecker,用於檢查signature被用於函數參數,本地變量,結構體成員時,字段結構正確
-
InstructionConsistency,驗證指令一致性
-
constants用於驗證常量,常量的類型必須是原始類型,常量的數據正確的序列化為其類型
CodeUnitVerifier,驗證函數體代碼的正確性,分別通過stack_usage_verifier.rs與abstract_interpreter.rs來達到目的
script_signature,用於驗證一個腳本或入口函數是否是一個有效的簽名
該漏洞發生在verify環節CodeUnitVerifier::verify_script(config, script)?;函數中。可以看這裡有許多的verify子流程。
分別是stack安全校驗,類型安全校驗名,本地變量安全性校驗,以及引用安全校驗。而漏洞產生的地方就在棧安全校驗過程中。
棧安全校驗(StackUsageVerifier::verify)
該模塊用於驗證函數的字節碼指令序列中的基本塊是否以平衡的方式使用。每個基本塊除了那些以Ret(返回給調用者)操作碼結尾的,必須確保離開block時候棧高度與開頭時候相同。此外,對於任何基本塊的塊,棧高度不得低於開始時的棧高度。
循環校驗所有代碼塊是否滿足以上條件:
即循環遍歷驗證所有基本塊的合法性。
漏洞詳情
前面已經介紹過,由於movevm是棧虛擬機,在驗證指令合法性的時候,很顯然,第一需要確保指令字節碼是否正確,第二需要確保棧空間經過一個block代碼塊調用之後,棧內存合法,即棧操作之後,棧保持平衡。 verify_block函數正是用來完成第二個目的的。
從verify_block代碼中我們可以看到,for循環會循環解析block代碼塊中的所有指令,然後通過對num_pops, num_pushes加減操作來驗證指令塊的對棧的影響是否合法,首先通過對stack_size_increment < num_pops來判斷棧空間是否合法,如果num_pops大於stack_size_increment就說明字節碼pop的數目大於棧本身的大小,就返回錯誤,字節碼校驗失敗。然後通過stack_size_increment -= num_pops; stack_size_increment += num_pushes; 這兩條指令來修改每個指令執行之後對棧的高度的影響,最後當循環結束之後,stack_size_increment需要等於0,即保持本block內的操作之後,需要保持棧的平衡。
看起來這裡似乎沒什麼問題,但是由於這裡在執行16行代碼的時候,沒有去判斷是否存在整數溢出,導致可以通過構造超大num_pushes,間接控制stack_size_increment,從而產生整數溢出漏洞。那麼如何構造構造這樣一個巨大的push數目呢?這里首先需要介紹一下move bytecode 文件格式。
move bytecode 文件格式
如同Windows PE文件,或者linux ELF文件,move的字節碼文件以.mv為結尾,文件本身也是有一定的格式的,總的來說move bytecode文件格式如圖所示:
首先是macgic,值為A11CEB0B,接下來是版本信息,以及table的數目,之後是tables headers,這裡可以有很多個tables,table kinds就是table的類型,總共有0x10種(如圖的右邊所示),更多詳細信息可以去看move語言文檔,接下來是table的偏移,以及table的長度。之後就是table的contents了,最後是Specific Data,有兩種,對於module來說就是Module Specific Data,對於script類型來說就是Script Specific Data。
構造的惡意文件格式
這裡我們與aptos交互的時候,是以script來完成的,所以我們構造了下圖所示的文件格式,就可以造成stack_size_increment溢出:
首先來解釋一下這個字節碼文件的格式:
+0x00-0x03: 是macgic word 0xA11CEB0B
+0x04-0x7: 文件格式版本,這里為版本4
+0x8-0x8: 為table count這里為1
+0x9-0x9: 為table kind 這裡是SIGNATURES 類型
+0xa-0xa: 為table offset, 這里為0
+0xb-0xb: 為table length,這里為0x10
+0xc-0x18:為SIGNATURES Token數據
從0x22開始為scrip的mian函數code代碼部分
通過move-disassembler工具,我們可以看到指令的反彙編代碼如下:
其中0,1,2三條指令對應的代碼就是紅框,綠框,黃框的數據。
LdU64與漏洞本身無關,我們這裡就不做過多解釋,感興趣的可以自行查看代碼。這裡重點解釋下VecUnpack指令,VecUnpack的作用就是在代碼中碰到vector對象的時候,需要將數據全部push到棧上。
在構造的這個文件中,我們構造了兩次VecUnpack,其vector的num分別是3315214543476364830,18394158839224997406,
當執行函數instruction_effect的時候,實際上執行的是下面第二行代碼:
執行完instruction_effect函數第一次返回(1,3315214543476364830),此時stack_size_increment為0,num_pops為1,num_pushes為3315214543476364830,執行第二次返回(1,18394158839224997406)。當再次執行stack_size_increment += num_pushes;
stack_size_increment已經為0x2e020210021e161d(3315214543476364829),
num_pushes為0xff452e02021e161e(18394158839224997406),當兩者相加之後,大於u64的最大值,產生了數據截斷,stack_size_increment的值成為了0x12d473012043c2c3b,造成了整數溢出,從而造成了aptos節點崩潰,進而導致節點運行停止的嚴重影響(由於rust語言的安全特性,並不會向c/c++那樣造成更進一步的代碼安全影響)。
4.漏洞影響
本漏洞由於是發生在movevm 執行模塊,所以對於鏈上節點,只要執行該字節碼代碼,就會造成DoS攻擊,嚴重的情況下,可以使得aptos網絡完全停止運行,會對其生態造成難以估量的影響,以及對節點的穩定性產生嚴重影響。
5.官方修復
當我們發現這個漏洞之後,第一時間報告給了官方,官方也很快修復了漏洞:
官方的修復也很簡單,就是對stack_size_increment的加減分別做了溢出檢測。如果有溢出就直接返回異常。
展開全文打開碳鏈價值APP 查看更多精彩資訊
