以太坊随机数安全全面分析

一、前言

在以太坊智能合约开发中，随机数的生成是一个常见但极具挑战性的问题。由于区块链的透明性和确定性特性，传统的随机数生成方法在以太坊环境中往往存在安全隐患。本文将对以太坊中的随机数安全问题进行全面分类和分析，并提供相应的攻击案例演示。

二、随机数问题分类

以太坊中的随机数安全问题可分为四大类：

1. 使用区块中的公共变量作为随机数种子
2. 使用过去区块的区块哈希
3. 结合哈希与私人设置的值作为种子
4. 因区块链机制导致的安全问题

三、基于区块变量的随机数安全问题

常见易受攻击的区块变量

以下区块变量常被误用作随机数种子，但都存在安全隐患：

• now：当前时间戳
• block.coinbase：挖当前区块的矿工地址
• block.difficulty：当前区块的挖矿难度
• block.gaslimit：交易中限制的最大gas值
• block.number：当前区块高度
• block.timestamp：当前区块被挖出的时间戳

这些变量可以被矿工计算或预测，攻击者可以利用这些信息预测随机数结果。

攻击案例1：基于block.number的轮盘游戏

function makeBet() {
    bool won = (block.number % 2) == 0;
    bets.push(Bet(msg.value, block.number, won));
    
    if(won) {
        if(!msg.sender.send(msg.value)) {
            throw;
        }
    }
}

漏洞分析：

• 使用block.number % 2作为随机数
• 攻击者可预测区块高度，只在有利区块调用函数

攻击案例2：基于block.timestamp的彩票游戏

function play() payable {
    assert(msg.value == TICKET_AMOUNT);
    pot += msg.value;
    
    var random = uint(sha3(block.timestamp)) % 2;
    
    if (random == 0) {
        bank.transfer(FEE_AMOUNT);
        msg.sender.transfer(pot - FEE_AMOUNT);
        pot = 0;
    }
}

漏洞分析：

• 使用block.timestamp作为随机数种子
• 时间戳可被矿工轻微操纵，攻击者可预测结果

攻击案例3：多区块变量组合的抽奖合约

function chooseWinner() private {
    address seed1 = contestants[uint(block.coinbase) % totalTickets].addr;
    address seed2 = contestants[uint(msg.sender) % totalTickets].addr;
    uint seed3 = block.difficulty;
    
    bytes32 randHash = keccak256(seed1, seed2, seed3);
    uint winningNumber = uint(randHash) % totalTickets;
    address winningAddress = contestants[winningNumber].addr;
    
    winningAddress.transfer(prize);
    feeAddress.transfer(fee);
}

漏洞分析：

• 使用block.coinbase、msg.sender和block.difficulty作为种子
• 所有这些变量都可被攻击者预测或操纵
• 攻击者可计算获胜位置并提前占领

四、基于区块哈希的随机数问题

区块哈希函数

• block.blockhash(block.number)：当前区块哈希（总是0）
• block.blockhash(block.number - 1)：上一个区块哈希
• block.blockhash()：获取指定区块的哈希值

常见误区

block.blockhash(block.number)总是返回0，因为当前区块的哈希在执行时尚未生成。

攻击案例1：错误使用当前区块哈希

function deal(address player, uint8 cardNumber) returns (uint8) {
    uint b = block.number;
    uint timestamp = block.timestamp;
    return uint8(uint256(keccak256(block.blockhash(b), player, cardNumber, timestamp)) % 52);
}

漏洞分析：

• block.blockhash(block.number)总是0
• 随机数实际上只依赖于玩家地址、卡号和可预测的时间戳

攻击案例2：可预测的种子更新

function random(uint64 upper) public returns (uint64 randomNumber) {
    _seed = uint64(sha3(sha3(block.blockhash(block.number), _seed), now));
    return _seed % upper;
}

漏洞分析：

• 使用block.blockhash(block.number)（总是0）
• _seed和now都可被攻击者获取或预测
• 随机数序列可被完全预测

五、安全建议

1. 避免单独使用区块变量：不要单独使用block.number、block.timestamp等作为随机数种子

2. 使用外部预言机：考虑使用Chainlink VRF等专业随机数生成服务

3. 多因素组合：如果必须链上生成，应组合多种难以预测的因素：

   • 用户提供的熵（需提交-揭示模式）
   • 未来区块哈希（需延迟揭示）
   • 合约内部状态

4. 使用承诺-揭示模式：让用户先提交哈希值，再揭示原始值

5. 考虑矿工影响：设计时要考虑矿工可能操纵区块变量的能力

六、参考链接

• Predicting Random Numbers in Ethereum Smart Contracts

通过以上分析可以看出，在以太坊中生成安全的随机数是一个复杂的问题，需要开发者深入理解区块链的特性和潜在的攻击向量。在实际应用中，应优先考虑使用经过验证的随机数生成方案，避免自行设计可能存在漏洞的随机数生成逻辑。