[Day34] OpenZeppelin 이더너트 문제풀이 — (3) Fallout
Published in
6 min readJun 20, 2018
임무 확인 & 새로운 인스턴스 생성
Level 1보다 쉬워 보입니다. 그냥 ownership만 가져오면 됩니다.
Get new instance 버튼을 눌러서 인스턴스를 생성합니다.
Solidity 코드 분석
- ownership을 가져오려면 owner를 변경하는 부분을 찾아야 합니다.
- 생성자 부분에만 owner를 설정하는 부분이 있고, 나머지 코드에는 어디에도 owner를 설정하는 부분이 없습니다.
- 생성자는 컨트랙트를 최초 배포하는 Level 컨트랙트가 부를텐데, 어떻게 해야 되는걸까요?? (이미 이상한 부분은 찾으신 분들도 계시겠지만… 잠시만 기다려 주세요 ㅋㅋ)
- 현재 owner를 확인해 보면 역시나 Level 컨트랙트가 owner로 설정되어 있습니다.
Remix 이용하기
- 임무 확인 시 Solidity Remix IDE를 쓰면 도움이 될 거라는 문구를 봤습니다. 그러면 Remix에 소스 코드를 붙여 넣고 확인해 보겠습니다.
- 그 전에 Remix가 익숙하지 않으신 분들은 이 글을 읽어 보시면 쉽게 사용하실 수 있습니다.
- 우리는 MetaMask를 사용하고 있으므로 Run 탭의 Environment를 Injected Web3를 선택합니다.
- 그리고 Remix 우측 상단의 + 버튼을 눌러서 새로운 파일을 만들고 Level 2 소스 코드를 전체 복사해서 붙여 넣습니다.
- Complie 탭으로 가서 Auto compile 옵션을 선택합니다.
- 그러면 Unable to import “zeppelin-solidity/contracts/ownership/Ownable.sol”: File not found 라는 에러 메세지가 나옵니다.
- 해당 메세지가 나오는 이유는 방금 우리가 붙여 넣은 소스는 truffle framework를 이용해서 작성 된 코드로 로컬에 Ownable.sol 파일을 가지고 있으면서 컴파일 시 사용하던 코드입니다. 그런데 Remix에선 해당 파일을 불러올 수 없으니 직접 코드를 붙여 넣어줘야 합니다. 해당 코드는 openzeppeline에서 가지고 오겠습니다.
- import 코드를 지워주고
- 그 자리에 pragma를 제외한 나머지 ownable 코드를 붙여 넣습니다.
- 아직 warning 메세지가 남아 있습니다.
this.balance
코드에서 this를 address 타입으로 명시적 형변환을 해줘야 합니다.
- 이제 컴파일이 무사히 됐습니다. Run탭으로 넘가면 컨트랙트를 Deploy할 수 있는 환경이 구축되었습니다.
- 하지만 우리는 직접 컨트랙트를 배포하는 것이 아니라 Level 컨트랙트가 배포해 놓은 컨트랙트를 불러서 사용해야 됩니다. (그래야 해당 컨트랙트의 상태가 변경되어 임무를 완수할 수 있으니깐요)
- 콘솔에서 Instance address를 확인합니다.
- 해당 주소를 복사해서 Remix의 Load contract from Address 창에 붙여 넣고 At Address 버튼을 눌러주면 해당 컨트랙트를 불러옵
- 뭔가 이상한 함수가 하나 있습니다. (Fallout 인줄 알았는데, Fal1out 이었네요… 낚였습니다.)
- 정상적인 생성자였다면 함수 목록에 표시되지 않습니다. Level 1 컨트랙트를 살펴 보시죠. (Fallback이라는 이름의 함수는 없습니다. (fallback)은 다른 함수 입니다.
문제 풀이
- 트릭을 발견했으니, 문제는 굉장히 간단해 졌습니다. 그냥 Fal1out을 호출하면 owner가 될 수 있습니다.
- 호출하고 owner를 확인해 보겠습니다.
- Remix에서 확인
- Console에서 확인
답안 제출
- Submit instance 버튼을 누릅니다.
- 임무를 완수했습니다.
말하고자 하는 취약점
- Fallout은 Fal1out으로 잘못 쓰는 사소한 실수로 인해 컨트랙트의 ownership을 아무나 획득할 수 있게 되었습니다.
- 이런 경우가 종종 발생하여 Solidity 0.4.23 버전부터는 컨트랙트와 동일한 이름으로 생성자를 만드는 대신 constructor라는 별도의 이름으로 선언하게 업데이트 되었습니다.
- 취약점을 개선한 버전이 지속적으로 나오는 만큼, 컨트랙트 작성 시 최대한 최신 버전에 맞춰서 컨트랙트를 작성하는게 좋지 않을까 생각합니다.
- 그리고 역시 auditing이 필요하다~ 가 결론일 것 같네요.^^
감사합니다.
- 저는 블록체인 개발사 (주)34일에서 블록체인 엔지니어로 일하고 있습니다.
- 880만 팔로워 전세계 1위 한류 미디어 케이스타라이브(KStarLive)와 함께 만든 한류 플랫폼에서 사용되는 케이스타코인(KStarCoin) 프로젝트를 진행 중입니다. 팬 커뮤니티 활동을 하면서 코인을 얻을 수 있으며, 한류 콘텐츠 구매, 공연 예매, 한국 관광 상품 구매, 기부 및 팬클럽 활동 등에 사용 될 계획입니다.