智能合约安全系列文章反汇编·下篇
字数 1233 2025-08-22 12:22:48

智能合约反汇编深度解析(下篇)

前言

本教学文档基于零时科技在先知社区发布的《智能合约安全系列文章反汇编·下篇》进行深度解析,重点讲解如何通过反汇编指令分析智能合约的代码逻辑。上篇已介绍了反汇编指令含义、数据在栈中的存储方式等内容,本篇将聚焦于反汇编指令所表示的代码逻辑分析。

合约源代码分析

pragma solidity ^0.4.24;

contract Tee {
    uint256 private c;
    
    function a() public returns (uint256) {
        self(2);
    }
    
    function b() public {
        c++;
    }
    
    function self(uint n) internal returns (uint256) {
        if (n <= 1) {
            return 1;
        }
        return n * self(n - 1);
    }
}

反汇编核心指令解析

函数入口检查(label_004E)

  1. CALLVALUE:获取交易中的转账金额
  2. DUP1:复制转账金额值到栈顶
  3. ISZERO:检查转账金额是否为0
    • 如果是0,将1入栈
    • 如果不是0,将0入栈
  4. JUMPI:条件跳转指令
    • 如果转账金额为0,跳转到0x59
    • 如果转账金额不为0,顺序执行下一条指令

安全意义:这部分指令确保a()函数不接受转账操作,如果检测到转账,合约会回滚状态(0055部分)

函数逻辑跳转(0059指令)

  1. POP:移除栈顶的转账金额值
  2. PUSH1 0x60PUSH1 0x8a:将这两个值依次压入栈
  3. JUMP:无条件跳转到栈顶的0x8a位置

递归函数处理(008a指令)

栈布局变化:

4: 0xab
3: 0x02
2: 0x94
1: 0x00
0: 0x60

关键操作:

  1. PUSH1 0x00, PUSH1 0x01:将0和1压入栈
  2. DUP3:复制栈中第三个值0x02(即self函数的参数2)到栈顶
  3. GT:比较2和1的大小
    • 2>1,将1入栈
  4. ISZERO:检查栈顶值是否为0
    • 1不是0,将0入栈
  5. ISZERO:再次检查
    • 0是0,将1入栈
  6. JUMPI:条件跳转
    • 栈顶为1,跳转到0xbe

递归计算过程

  1. 00BE段

    • DUP4:复制2到栈顶
    • SUB:执行2-1=1
    • 跳转回00AB进行新一轮比较

  2. 00C8段

    • DUP3:复制值到栈顶
    • MUL:执行2 * self(1)的乘法运算

  3. 0094段和0060段

    • 调整栈中数值
    • 计算偏移量
    • 最终输出返回值

完整逻辑还原

通过反汇编分析,可以还原出原始合约的递归计算逻辑:

function a() public returns (uint256) {
    self(2);  // 调用self函数并传入参数2
}

function self(uint n) internal returns (uint256) {
    if (n <= 1) {  // 递归终止条件
        return 1;
    }
    return n * self(n - 1);  // 递归调用
}

逆向分析方法总结

  1. 栈操作分析

    • 跟踪每个指令对栈的影响
    • 记录栈的完整状态变化

  2. 控制流分析

    • 识别JUMPI等跳转指令
    • 确定条件分支的逻辑

  3. 函数调用分析

    • 识别CALL、STATICCALL等指令
    • 分析参数传递和返回值处理

  4. 数据流分析

    • 跟踪关键数据的来源和去向
    • 识别存储和内存操作

工具推荐

  1. 反汇编工具

    • EVM disassemblers (如ethersplay)
    • 反编译工具(如Panoramix)

  2. 调试工具

    • Remix Debugger
    • Tenderly

  3. 分析框架

    • Mythril
    • Slither

最佳实践建议

  1. 逐步分析:从函数入口开始,逐步跟踪指令流
  2. 记录状态:维护栈、内存和存储的状态变化表
  3. 交叉验证:结合反编译结果进行验证
  4. 关注安全模式:特别注意涉及资金操作的指令序列
  5. 理解上下文:结合ABI和调用上下文理解参数传递

通过系统性地应用这些方法,可以有效分析智能合约的反汇编代码,还原其原始逻辑并发现潜在的安全问题。

智能合约反汇编深度解析(下篇) 前言 本教学文档基于零时科技在先知社区发布的《智能合约安全系列文章反汇编·下篇》进行深度解析,重点讲解如何通过反汇编指令分析智能合约的代码逻辑。上篇已介绍了反汇编指令含义、数据在栈中的存储方式等内容,本篇将聚焦于反汇编指令所表示的代码逻辑分析。 合约源代码分析 反汇编核心指令解析 函数入口检查(label_ 004E) CALLVALUE :获取交易中的转账金额 DUP1 :复制转账金额值到栈顶 ISZERO :检查转账金额是否为0 如果是0,将1入栈 如果不是0,将0入栈 JUMPI :条件跳转指令 如果转账金额为0,跳转到0x59 如果转账金额不为0,顺序执行下一条指令 安全意义 :这部分指令确保a()函数不接受转账操作,如果检测到转账,合约会回滚状态(0055部分) 函数逻辑跳转(0059指令) POP :移除栈顶的转账金额值 PUSH1 0x60 和 PUSH1 0x8a :将这两个值依次压入栈 JUMP :无条件跳转到栈顶的0x8a位置 递归函数处理(008a指令) 栈布局变化: 关键操作: PUSH1 0x00, PUSH1 0x01 :将0和1压入栈 DUP3 :复制栈中第三个值0x02(即self函数的参数2)到栈顶 GT :比较2和1的大小 2>1,将1入栈 ISZERO :检查栈顶值是否为0 1不是0,将0入栈 ISZERO :再次检查 0是0,将1入栈 JUMPI :条件跳转 栈顶为1,跳转到0xbe 递归计算过程 00BE段 : DUP4:复制2到栈顶 SUB:执行2-1=1 跳转回00AB进行新一轮比较 00C8段 : DUP3:复制值到栈顶 MUL:执行2 * self(1)的乘法运算 0094段和0060段 : 调整栈中数值 计算偏移量 最终输出返回值 完整逻辑还原 通过反汇编分析,可以还原出原始合约的递归计算逻辑: 逆向分析方法总结 栈操作分析 : 跟踪每个指令对栈的影响 记录栈的完整状态变化 控制流分析 : 识别JUMPI等跳转指令 确定条件分支的逻辑 函数调用分析 : 识别CALL、STATICCALL等指令 分析参数传递和返回值处理 数据流分析 : 跟踪关键数据的来源和去向 识别存储和内存操作 工具推荐 反汇编工具 : EVM disassemblers (如ethersplay) 反编译工具(如Panoramix) 调试工具 : Remix Debugger Tenderly 分析框架 : Mythril Slither 最佳实践建议 逐步分析 :从函数入口开始,逐步跟踪指令流 记录状态 :维护栈、内存和存储的状态变化表 交叉验证 :结合反编译结果进行验证 关注安全模式 :特别注意涉及资金操作的指令序列 理解上下文 :结合ABI和调用上下文理解参数传递 通过系统性地应用这些方法,可以有效分析智能合约的反汇编代码,还原其原始逻辑并发现潜在的安全问题。