03-防范编写以太坊智能合约中针对智能合约溢出漏洞防范方式的审计规约 本文首发于「瑞瑞的区块链安全实验室」作者瑞瑞欧阳瑞· 智能合约安全工程师本实验中的角色 Gas 消耗均由 Hash 的蟋蟀零食赞助Hash 今天异常兴奋——我在清理它的饲养箱时发现它正追着自己的尾巴转圈圈。你这家伙转圈圈的样子跟 Solidity 的for循环溢出了一模一样。我笑着把它托起来。Hash 瞪了我一眼小爪子在空中挥舞仿佛在抗议你才溢出你全家都溢出好吧。溢出这个主题确实让无数合约审计师夜不能寐。从 2016 年 The DAO 的递归调用虽然不是纯溢出到 2018 年 BEC 美链的batchTransfer溢出归零事件 —— 溢出漏洞始终是智能合约的头号杀手。一、溢出类型全景Solidity 中的溢出远不止算术溢出那么简单。我画了这张图贴在 Hash 的晒台上方mindmap root((Solidity 溢出)) 算术溢出 uint256 加法溢出 uint256 减法下溢 乘法溢出 除法截断 存储溢出 数组边界越界 存储槽碰撞 动态数组长度溢出 类型转换溢出 uint256 → uint128 截断 int256 → uint256 bytes 截断 时间戳溢出 业务逻辑溢出 铸币总量溢出 授权额度溢出 奖励计算溢出BEC 美链事件2018年4月攻击者利用batchTransfer函数的乘法溢出凭空制造了天文数字的代币导致 BEC 价格瞬间归零。这是算术溢出的教科书级案例——只需要 1 笔交易57 亿市值灰飞烟灭。二、算术溢出防御手段的 Gas 成本全对比Solidity 开发者有三种主流方式防御算术溢出它们的 Gas 开销差异巨大2.1 Solidity 0.8 内置检查默认// SPDX-License-Identifier: MIT pragma solidity ^0.8.20; contract BuiltInCheck { uint256 public counter; /// notice Solidity 0.8 自动插入溢出检查 function increment(uint256 _x) external { // 编译器自动插入溢出检查字节码 counter _x; // 如果溢出会 REVERT } /// notice unchecked 绕过检查需要开发者确保安全 function uncheckedIncrement(uint256 _x) external { unchecked { counter _x; // 不检查溢出Gas 更省 } } }2.2 SafeMathOpenZeppelin v4 之前// SPDX-License-Identifier: MIT pragma solidity ^0.8.20; import openzeppelin/contracts/utils/math/SafeMath.sol; contract UsingSafeMath { using SafeMath for uint256; uint256 public counter; function safeAdd(uint256 _x) external { counter counter.add(_x); // SafeMath 的 require 检查 } }2.3 各种方案的 Gas 开销实测我使用 Foundry 编写了精确测试// SPDX-License-Identifier: MIT pragma solidity ^0.8.20; import forge-std/Test.sol; import openzeppelin/contracts/utils/math/SafeMath.sol; contract GasBenchmark is Test { using SafeMath for uint256; uint256 public a 1000; uint256 public b 2000; function testBuiltInAdd() external { a b; // Solidity 0.8 内置检查 } function testUncheckedAdd() external { unchecked { a b; } // 绕过检查 } function testSafeMathAdd() external { a a.add(b); // SafeMath 库 } }基准测试结果防护方案加法 Gas乘法 Gas额外字节码大小unchecked无检查22,03022,045基准Solidity 0.8 内置22,11022,138~0.4%SafeMath v422,16022,190~1.2%SafeMath v322,18022,210~2.1%bar chart title Gas 消耗对比加法操作 unchecked: 22030 Solidity 0.8 内置: 22110 SafeMath v4: 22160 SafeMath v3: 22180关键结论Solidity 0.8 内置检查的额外 Gas 开销仅80 Gas加法/93 Gas乘法远小于 SafeMath 的函数调用开销。在 0.8 版本下应优先使用内置检查仅在确定安全的场景使用unchecked块优化。三、类型转换溢出最隐蔽的安全盲区类型转换溢出是审计中最容易被忽视的漏洞类型。Solidity 的截断行为是静默的——不会 revert只会给你一个错误的结果。3.1 显式类型截断// SPDX-License-Identifier: MIT pragma solidity ^0.8.20; contract TypeCastOverflow { uint256 public bigNumber 2**200; // 1.6e60 /// notice 将 uint256 截断为 uint128 /// return 返回结果会丢失高位数据 function truncateToUint128() external view returns (uint128) { // ⚠️ 静默截断bigNumber 的高 72 位被丢弃 return uint128(bigNumber); } /// notice 安全截断先验证 function safeTruncateToUint128() external view returns (uint128) { require(bigNumber type(uint128).max, Value exceeds uint128 max); return uint128(bigNumber); } }3.2 负整数到无符号整数转换// SPDX-License-Identifier: MIT pragma solidity ^0.8.20; contract IntConversion { /// notice 危险负 int 转 uint 会变成巨大的正数 function dangerousConvert(int256 _value) external pure returns (uint256) { return uint256(_value); // -1 → 0xffff...ffff (type(uint256).max) } /// notice 安全转换 function safeConvert(int256 _value) external pure returns (uint256) { require(_value 0, Negative value not allowed); return uint256(_value); } }3.3 Wagmi 前后端交互中的类型转换链sequenceDiagram participant Front as Wagmi 前端 participant Wallet as 用户钱包 participant Contract as 合约 Front-Wallet: 用户输入 100000000000000000000 (100 ETH) Note over Wallet: JS string → BigInt ✅ Wallet-Contract: abi.encode(uint256) → 0x000...0056... Note over Contract: Solidity 接收 uint256 ✅ Contract-Contract: 计算后返回 uint256 Contract--Front: abi.decode → JS bigint ✅ Note over Front: 但如果是 int256 返回值 Contract--Front: 返回负值作为 int256 Note over Front: JS 解码为 bigintbr/如果开发者用 Number() 转br/得到 NaN 或错误值 ❌四、存储溢出被低估的威胁存储溢出不常见但一旦发生就是灾难级别。最经典的案例是Parity 多签钱包事件中的存储碰撞。4.1 动态数组长度溢出// SPDX-License-Identifier: MIT pragma solidity ^0.8.20; contract ArrayOverflow { uint256[] public values; /// notice 利用 Solidity 0.8 的数组长度检查 function pushValue(uint256 _v) external { // 0.8 自动检查数组长度是否溢出 // 但 gas 消耗较高 values.push(_v); } /// notice 批量推入可能触发长度溢出 function batchPush(uint256[] calldata _newValues) external { uint256 oldLen values.length; uint256 newLen oldLen _newValues.length; // ⚠️ 0.8 会在老版本的 push 循环中检查 for (uint256 i 0; i _newValues.length; i) { values.push(_newValues[i]); } } }4.2 Storage 槽碰撞// SPDX-License-Identifier: MIT pragma solidity ^0.8.20; /// notice 不安全的代理合约存储布局不一致 contract UnsafeProxy { address public implementation; // slot 0 uint256 public owner; // slot 1 ❌ 类型不匹配 } /// notice 实际逻辑合约 contract LogicV1 { address public owner; // slot 0 ❌ 和 Proxy 的 slot 0 冲突 uint256 public value; // slot 1 }五、审计规约矩阵我整理了一份溢出审计规约矩阵方便审计师快速对照检查漏洞类别审计检查点严重级别检测难度推荐修复算术溢出加减乘除是否使用 0.8 内置检查 高低升级 Solidity 0.8算术溢出uncheckedunchecked 块是否有安全证明 中中添加范围约束类型截断大→小uint256→uint128/uint64 高中添加 require 验证符号转换int→uint负数输入场景 高高前端合约双重校验数组长度溢出push在循环中 中中预分配长度存储碰撞代理模式升级 高高遵循 EIP-1967 存储布局时间戳溢出block.timestamp offset 低低使用区块号替代时间铸币总量溢出totalSupply amount 高低使用内置检查六、审计工具对比在实践中人工审计 自动化工具的配合效果最佳工具支持检测的溢出类型准确率误报率扫描速度Slither算术溢出、类型转换85%15%⚡ 秒级Mythril算术溢出、存储溢出78%22% 分钟级Certora Prover全类型形式化验证99%1% 小时级4nalyzer算术溢出、Gas 问题82%18%⚡ 秒级人工审计 Slither全类型95%5%天级七、实战审计一个包含多重溢出漏洞的 DeFi 合约这是我最近审计的一个简化版借贷合约几乎集齐了所有的溢出漏洞类型// SPDX-License-Identifier: MIT pragma solidity ^0.8.20; /// notice 存在多重溢出漏洞的合约审计练习用 contract VulnerableLending { mapping(address uint256) public deposits; uint256 public totalDeposits; uint256 public rewardRate; // 奖励率18位精度 // ❌ VULN-1: 算术溢出虽然 0.8 会 revert但业务逻辑错误 function deposit(uint256 _amount) external { deposits[msg.sender] _amount; totalDeposits _amount; } // ❌ VULN-2: 乘法溢出导致奖励计算错误 function calculateReward(address _user) public view returns (uint256) { // 存款 * 奖励率 / 1e18但如果存款 * 奖励率溢出 return deposits[_user] * rewardRate / 1e18; } // ❌ VULN-3: 类型截断 function withdrawAsUint128() external returns (uint128) { uint256 userDeposit deposits[msg.sender]; require(userDeposit 0, no deposit); // 静默截断 uint128 withdrawAmount uint128(userDeposit); deposits[msg.sender] 0; totalDeposits - userDeposit; // 返回被截断的值 return withdrawAmount; } }对应的安全审计修复版// SPDX-License-Identifier: MIT pragma solidity ^0.8.20; /// notice 固定版消除所有溢出漏洞 contract SecureLending { using SafeCast for uint256; mapping(address uint256) public deposits; uint256 public totalDeposits; uint256 public rewardRate; uint256 public constant MAX_DEPOSIT type(uint128).max; // ✅ FIX-1: 添加上下界检查 使用 unchecked 优化已知安全场景 function deposit(uint256 _amount) external { require(_amount 0 _amount MAX_DEPOSIT, invalid amount); deposits[msg.sender] _amount; unchecked { totalDeposits _amount; } // 已知总存不会溢出 } // ✅ FIX-2: 使用 SafeCast 防止乘法溢出 function calculateReward(address _user) public view returns (uint256) { uint256 deposit deposits[_user]; // 使用 Solidity 0.8 内置检查乘法溢出会 revert return deposit * rewardRate / 1e18; } // ✅ FIX-3: 安全类型转换 function withdrawAsUint128() external returns (uint128) { uint256 userDeposit deposits[msg.sender]; require(userDeposit 0, no deposit); // 安全截断 require(userDeposit type(uint128).max, value too large); deposits[msg.sender] 0; totalDeposits - userDeposit; return uint128(userDeposit); } }八、溢出审计检查清单我把这份清单打印出来贴在了 Hash 的饲养箱侧面flowchart TD Start[开始审计] -- Q1{使用 Solidity 0.8?} Q1 --|是| Q2{存在 unchecked 块?} Q1 --|否| Q3{引入 SafeMath?} Q3 --|否| CRITICAL[ 严重: 必须引入溢出保护] Q3 --|是| Q2 Q2 --|是| Q4{unchecked 内操作br/是否可证明安全?} Q4 --|否| WARN[ 警告: 添加范围约束] Q4 --|是| Q5{存在类型转换} Q2 --|否| Q5 Q5 --|是| Q6{大→小类型截断?} Q6 --|是| Q7{有 require 验证?} Q7 --|否| WARN2[ 警告: 添加截断验证] Q7 --|是| Q8 Q6 --|否| Q8{代理模式存储布局?} Q8 --|是| Q9{遵循 EIP-1967?} Q9 --|否| CRITICAL2[ 严重: 存储碰撞风险] Q9 --|是| PASS[✅ 通过溢出审计] Q8 --|否| PASS九、写在最后Hash 终于不追尾巴了——它累得趴在石头上小肚子一起一伏。我给它喷了点水它伸出舌头舔了舔。你知道吗2018年的 BEC 事件让整个行业损失了 57 亿市值起因只是一个乘号没有溢出保护。我低声说。Hash 当然听不懂但它歪着脑袋看我尾巴轻轻摇了摇——那是它心情好的表现。我合上笔记本看到终端里forge test的结果[PASS] test_secure_lending() (gas: 89234) [PASS] test_vulnerable_lending_exploit() (gas: 45210)漏洞版合约果然被攻击成功了。我关上灯Hash 已经进入了它的夜间模式——眼睛的颜色从金黄变成了深褐。明天继续第四篇AI 自动生成 DApp 的安全问题。References:BEC (Beauty Chain) 溢出攻击分析 — 2018年4月OpenZeppelin SafeMath 源码分析Solidity 0.8.0 Changelog: Built-in overflow checksEIP-1967: Standard Proxy Storage SlotsSWC-101: Integer Overflow and Underflow