未授权代币转移漏洞技术分析

漏洞影响摘要

攻击者能够从非其所有的锁定账户中转移资金（如果账户存在解锁资金，可能在锁定期结束后）。概念验证（POC）针对周期性锁定账户完成，但由于问题似乎存在于SendCoins函数中，且被所有锁定账户使用，因此更多锁定账户可能受到影响。

技术原理

当调用函数时，它从消息msg.Sender传递发送者，在checkSender中检查发送者是否等于所有者。但问题在于msg.Sender未在任何地方验证，因为该消息被打包到MsgExecute中。执行时，它将原始发送者设置到上下文中。对于多签名账户，它正确地从ctx中获取发送者（至少在我查看的那些位置）。但这些锁定账户从消息中获取发送者，而该值可以是任意值。

POC场景

1. 首先在受害者处创建周期性锁定账户（锁定期较短，避免长时间等待）
2. 等待锁定期结束并将资金转移给攻击者

复现步骤

环境要求

• Go语言环境
• Rust语言环境

具体步骤

1. 检出最新版本cosmos-sdk并运行make build。记下二进制文件路径，完成后在setup_chain中替换路径
2. 使用附带的Cargo.toml创建Rust项目。下载所有附带的*.rs文件并放入src文件夹
3. 确保setup_chain具有执行权限。运行./setup_chain等待链启动，然后运行Rust项目

支持材料

• setup_chain：设置并启动链的脚本
• main.rs, types.rs, client.rs, func.rs, msg.rs 和 Cargo.toml：攻击实现文件
• attack.mov：POC演示视频

影响评估

攻击者可以接管某人在锁定账户上锁定然后解锁的资金。POC特别演示了周期性锁定账户的情况，但有理由相信更多锁定账户受到影响。

修复状态

开发团队已在https://github.com/cosmos/cosmos-sdk/pull/23621 提交补丁，漏洞最终被评定为严重等级（Critical）。