Slidity安全之随机数误区

Solidity作为编写智能合约的语言，已经被广泛的应用。但同时，开发者和用户也得到了惨痛的教训，智能合约的安全问题层出不穷。因此，我们总结了一些常见的Solidity安全问题。前车之鉴，后车之师，希望后来者能有所警惕。

随机数误区

以太坊区块链上的所有交易都是确定性的状态转换操作。这意味着每笔交易都会改变以太坊生态系统的全球状态，并且它以可计算的方式进行，没有不确定性。笔者表示：Solidity提供的功能和变量可以获得明显难以预测的价值，但它们通常要么比看起来更公开，要么受到矿工的影响。由于这些随机性在一定程度上是可预测的，因此恶意用户通常可以复制它并依赖于其不可预测性来攻击该功能。

代码案例

在该案例中，私人的种子与iteration与和keccak256散列函数组合使用以确定呼叫者是否获胜。即使私人的种子，它必须是通过交易在某个时间点设置，并因此在区块上可见。

PRNG 合约

为了增加熵，一些智能合约使用了被视为私有的种子。一个这样的案例是Slotthereum彩票。

代码如下：

变量指针被声明为私有，这意味着其他合同无法访问其值。在每次游戏之后，1到9之间的中奖号码被分配给该变量，然后block.number在检索阻塞时将其用作当前的偏移量。

虽然私有变量受到保护而不受其他合同的影响，但可以将合同存储的内容置于链外。例如，流行的以太坊客户端web3具有API方法web3.eth.getStorageAt()，该方法允许检索指定索引处的存储条目。

鉴于这一事实，从合同存储中提取私有变量指针的值并将其作为漏洞的参数提供是微不足道的：

1.彩票使用外部合约oracle来获取伪随机数，用于确定每轮投注中的投注者中的获胜者。

2.这些号码是未加密的。攻击者可能会观察待处理事务池并等待来自oracle的号码。

3.一旦oracle的交易出现在交易池中，攻击者就会以更高的Gas价格发出赌注。

4.攻击者的交易最后一轮进行，但由于Gas价格较高，实际上是在oracle的交易之前执行，使得攻击者获胜。

观点：

在以太坊区块链中实施安全的PRNG仍然是一项挑战。由于缺乏现成的解决方案，开发人员倾向于使用自己的实现。但是在创建这些实现时，很容易出错，因为区块链的随机性源有限。在设计PRNG时，开发人员应确保首先了解各方的激励，然后才选择合适的方法。同时，区块变量不应该被用来提供随机性，因为它们可以被矿工操纵。​

（作者：曲速未来安全区；本文仅代表作者观点，不代表链得得官方立场）