#10：ThirdWeb事件：可信模块不兼容导致漏洞暴露

2023年12月5日，著名的Web3开发平台Thirdweb披露了影响其预建合约的重大智能合约安全漏洞。这一关键缺陷影响了使用这些特定易受攻击合约部署的所有ERC-20、ERC-721和ERC-1155代币。在披露后的几天里，使用这些易受攻击合约部署的代币在一系列攻击中被逐步利用，凸显了根本不兼容性的严重性。

理解ThirdWeb智能合约漏洞

ThirdWeb事件的根本原因在于智能合约开发两个基本组件之间的意外交互：ERC-2771和OpenZeppelin的多重调用实现。要完全理解该漏洞，必须单独理解每个组件，然后了解它们的交互如何创建了一个可被利用的途径。

ERC-2771：Meta交易和受信任的Forwarder

EIP-2771定义了一个合约级别的协议，允许“接收方”合约通过受信任的“Forwarder”合约接受“meta交易”。该标准对于改善用户体验至关重要，它允许第三方（forwarder）代表用户支付Gas费用，从而消除了用户持有原生区块链代币的需求。

在实践中，OpenZeppelin的ERC2771Context是一个被广泛采用的实现。其核心功能包括将来自受信任forwarder的calldata的最后20字节视为有效的_msgSender()。对于使用此库的开发者来说，常规做法是用_msgSender()替换所有直接使用的msg.sender，以确保与meta交易的兼容性。同样，_msgData()用于检索原始交易数据，不包括附加的发送者信息。

function _msgSender() internal view virtual override returns (address) {
    uint256 calldataLength = msg.data.length;
    uint256 contextSuffixLength = _contextSuffixLength();
    if (isTrustedForwarder(msg.sender) && calldataLength >= contextSuffixLength) {
        return address(bytes20(msg.data[calldataLength - contextSuffixLength:]));
    } else {
        return super._msgSender();
    }
}

function _msgData() internal view virtual override returns (bytes calldata) {
    uint256 calldataLength = msg.data.length;
    uint256 contextSuffixLength = _contextSuffixLength();
    if (isTrustedForwarder(msg.sender) && calldataLength >= contextSuffixLength) {
        return msg.data[:calldataLength - contextSuffixLength];
    } else {
        return super._msgData();
    }
}

Multicall：批量交易以提高效率

Multicall功能允许用户将多个函数调用捆绑到单个事务中，从而显著降低Gas成本并提高事务效率。OpenZeppelin的MulticallUpgradeable是为此目的而流行的实现。它接受一个calldata字节数组，并对每个条目执行delegatecall，在调用合约的上下文中执行它们。

function multicall(bytes[] calldata data) external virtual returns (bytes[] memory results) {
    results = new bytes[](data.length);
    for (uint256 i = 0; i < data.length; i++) {
        results[i] = _functionDelegateCall(address(this), data[i]);
    }
    return results;
}

（注意：这里讨论的bug在OpenZeppelin Multicall的后续版本中已修复。）

不兼容性：ERC-2771和Multicall冲突

ThirdWeb事件智能合约漏洞的核心在于ERC-2771和Multicall处理calldata的方式存在关键不一致。ERC-2771期望受信任的forwarder将消息数据和发送者信息打包在一起。接收方合约随后使用_msgData()和_msgSender()来正确解包这些信息。

然而，Multicall函数在其易受攻击的实现中，并未设计成与ERC-2771打包meta交易数据的方式兼容。具体来说，当Multicall处理一批调用时，它应该正确地从初始meta交易中提取_msgSender()，然后将此发送者信息附加到每个单独调用的calldata中，然后再执行它们。这一关键步骤缺失了。

在Multicall处理的每个子调用中，发送者信息没有被正确附加到calldata中，目标合约中的ERC-2771上下文会尝试从子调用的*_msgData()的最后20字节*中解包发送者信息。关键是，攻击者可以控制这最后20字节。这使得恶意行为者能够构造特定的calldata，当由Multicall处理并由支持ERC-2771的合约解释时，将以被操纵的_msgSender()值（例如，由攻击者控制的地址，甚至是协议自己的池地址）执行任意逻辑。这有效地绕过了预期的安全检查，违反了两个规范设定的预期，从而导致未经授权的操作。

ThirdWeb事件：攻击分析和利用

让我们以BlockSec的Phalcon平台分析的攻击交易为例，深入了解ThirdWeb事件的智能合约漏洞利用。

攻击者的策略涉及操纵_msgSender()来冒充Uniswap池，从而耗尽其代币余额。

• 步骤1：初始代币获取。 攻击者首先在去中心化交易所上用5 WETH兑换了3,455,399,346 TIME代币。这提供了后续操纵所需的代币。

• 步骤2：恶意Multicall执行。 这是利用的核心。攻击者调用了一个受信任的forwarder，并精心构造了用于利用ERC-2771/Multicall不兼容性的calldata。当Multicall函数解析此calldata时，它导致调用TIME代币合约的burn函数。关键是，由于漏洞的存在，_msgSender()被错误地解释为Uniswap池地址。这使得攻击者能够有效地燃烧Uniswap池持有的相当一部分TIME代币，而无需实际授权。BlockSec Phalcon平台提供了详细的交易跟踪来可视化这一流程。

  

  上图展示了攻击者的Forwarder.execute调用是如何被处理的。multicall函数接收一个字节数组，然后调用burn函数并传入被操纵的_msgSender()。

  

  Phalcon的这个详细视图显示，长度为1的bytes[]被用作调用合约的数据，从而导致在错误的_msgSender()下执行burn函数。

• 步骤3：价格操纵。 通过销毁Uniswap池中大量的TIME代币，攻击者极大地降低了TIME在池中的流动性。这种人为的稀缺性导致TIME相对于WETH在池中的价格飙升。

• 步骤4：有利可图的套利。 随着TIME价格被人为抬高，攻击者随后将其剩余的3,455,399,346 TIME代币兑换回94 WETH，从操纵的价格中获得了可观的利润。

这一系列事件展示了一次复杂的攻击，它利用了源于模块不兼容性的微妙智能合约漏洞。