智能合约安全漏洞:双重投票或msg.sender欺骗

最新推荐文章于 2024-01-02 16:20:26 发布
最新推荐文章于 2024-01-02 16:20:26 发布
阅读量186 收藏
点赞数
分类专栏: 区块链 文章标签: 智能合约 区块链 数字藏品 数字藏品开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76642277/article/details/130880685
版权

使用vanilla ERC20代币或NFT作为门票来计算投票权重是不安全的,因为攻击者可以用一个地址投票,将代币转账到另一个地址,并从该地址再次投票。

举个例子:

```

contract UnsafeBallot {

    uint256 public proposal1VoteCount;
    uint256 public proposal2VoteCount;

    IERC20 immutable private governanceToken;

    constructor(IERC20 _governanceToken) {
        governanceToken = _governanceToken;
    }
	
    function voteFor1() external notAlreadyVoted {
        proposal1VoteCount += governanceToken.balanceOf(msg.sender);
    }

    function voteFor2() external notAlreadyVoted {
        proposal2VoteCount += governanceToken.balanceOf(msg.sender);
    }

    // prevent the same address from voting twice,
    // however the attacker can simply
    // transfer to a new address
    modifier notAlreadyVoted {
        require(!alreadyVoted[msg.sender], "already voted");
        _;
        alreadyVoted[msg.sender] = true;
    }
}

```

为了防止这种攻击,应该使用ERC20 Snapshot或ERC20 Votes。通过对过去的一个时间点进行快照,当前的代币余额不能被操纵以获得非法投票权。

洞见区块链
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
合约安全之越权攻击
xiaoyue2019的博客
08-09 731
越权的关键漏洞函数是:delegatecall。这个函数在之前的重入攻击中有提到 是属于地址类型的成员函数。他还有一种调用方式: addr.delegatecall(bytes4(keccak256("test(string,uint)")),"test",1); addr.delegatecall(bytes4(keccak256("test()"))); 在官网中,这些底层调用函数是这么解释的 而对delegate官网也有专门的解释 委托调用/代码调用和库 有一种特殊类型的消...
合约漏洞--重入攻击
wzx_come_on的博客
08-17 121
当然,这里还有另外一个关键的地方——call.value函数特性,当我们使用call.value()来调用代码时,执行的代码被赋予账户所有可用的gas,这样就能保证我们的fallback函数能被顺利执行,对应的,如果我们使用transfersend函数来发送时,代码可用的gas仅有2300而已,这点gas可能仅仅只够捕获一个event,所以也将无法进行可重入攻击,因为send本来就是transfer的底层实现,所以他两性质也差不多。
Solidity案例详解(四)投票智能合约
2302_77339802的博客
11-13 893
优质的智能合约学习例子
如何编写一个投票功能的智能合约
lucasma的博客
08-14 2435
这个方法是调用者委托给另一个账户帮自己投票,这里面有个关键字`storage`,这个关键字可以理解为引用,我们可以类比其他编程语言里引用类型,一个变量如果是引用类型,对其的修改同样造成被引用对象的修改。这里的`sender`变量就是调用者对应的投票对象的引用。...
智能合约——投票系统
ChinaDreamdream的博客
02-04 427
智能合约——投票系统,涉及到校园中社团提案的投票等相关功能
【CryptoZombies - 1 Solidity 教程】010 msg.sender
水亦心的博客
02-17 1301
一、前言 看了一些区块链的教程,论文,在网上刚刚找到了一个项目实战,CryptoZombies。 如果你想了解更多有关于机器学习、深度学习、区块链、计算机视觉等相关技术的内容,想与更多大佬一起沟通,那就扫描下方二维码加入我们吧! 二、msg.sender 当我们有了一套映射来记录僵尸的所有权时,我们可以用msg.sender来运用他们。并且,msg.sender可以被所有函数调用。ms...
solidity tx.origin和msg.sender那些事儿
haifeng_zhang_it的博客
01-02 2048
tx.origin与msg.sender是solidity中容易令人迷惑的两个变量,尤其是当我们直接调用合约时两者的值是相同的。为了更清晰的说明两者的关系我们需要构造合约间的链式调用,来观察两者值的变化。
【CryptoZombies – 1 Solidity 教程】010 msg.sender
01-07
一、前言 ...msg.sender指的是当前调用者(或智能合约)的 address。 注意: 在 Solidity 中,功能执行始终需要从外部调用者开始。 如果没有人调用合约中的函数,合约只区块链上什么也不做。所以msg.s
区块链实战(3):用Solidity实现投票智能合约
06-09
在创建投票智能合约时,我们需要考虑以下几个关键点: 1. **账户管理**:智能合约需要能够识别和管理参与投票的账户。每个账户都有一个唯一的以太坊地址,用于进行投票操作。 2. **提案管理**:合约需要存储并管理...
docs.any.sender:any.sender事务中继服务的文档
03-09
任何发件人测试版:尽管any.sender即将达到生产就绪状态,但我们仍将其视为beta版本,最新版本为v0.4 beta。 我们建议使用资金少且非关键交易的any.sender。公告! 以太坊的每日平均费用已从10-15 gwei上升到80+ ...
以太坊智能合约实现投票系统
03-30
该文档是使用以太坊智能合约实现的投票系统,内含零知识证明协议。
contractVoting:基本于ganache的solidity 智能合约-投票
05-08
contractVoting 基本于ganache-cli的solidity 智能合约-投票 目录 assets 为Dapp成功执行预览展示 执行方法 配置ganache-cli客户端,可以采用阿里云,利用nginx反向代理到本地127.0.0.1:8545 ganache-cli Linux版本安装(此处忽略) 命令行如下: truffle compile truffle migrate --reset #完全布署 npm run dev 联系方式:
智能合约Solidity 银行积分+投票 Dapp
09-17
智能合约Solidity 银行积分+投票 Dapp 使用truffle框架实现。有前端界面效果。
Msg91:适用于node.js的Msg91 API
05-17
var msg91 = require ( "msg91" ) ( "API_KEY" , "SENDER_ID" , "ROUTE_NO" ) ; // Mobile No can be a single number, list or csv string var mobileNo = "XXXXXXXXXX" ; var mobileNo = [ "XXXXXXXXXX" , ...
web-msg-sender:基于workerman用PHP编写的Web消息推送器
02-24
可以通过php或其他语言的curl功能实现后台推送下载安装1,git clone 2,作曲家安装初步服务启动停止Linux系统启动服务php start.php开始-d停止服务php start.php停止服务状态php start.php状态Windows系统双击start_...
(五)以太坊——委托投票智能合约
qq_42102911的博客
09-22 8655
一、投票合约介绍   本实例实现一个投票智能合约。当然,电子投票的主要问题是如何将投票权分配给正确的人员以及如何防止被操纵。我们不在这里解决所有的问题,但至少我们展示如何进行委托投票,同时,计票又是 自动和完全透明的 。     想法:为每个投票创建一个合约,然后作为合约的创建者——主席,将给予每个独立的地址以投票权。     拥有主席给予投票权的地址,可以选择自己投票,也可以委托给他们信任的人投票,在投票时间结束时,winningProposal() 将返回获得最多投票的提案。
第二章:发币智能合约实现
08-15
众筹兴起于2009年,2011年引入我国,2014年第一个众筹电影诞生。众筹的特点是低门槛、面向大众、注重特色,这非常符合区块链全民参与的特性,所以众筹电影相对适合通过区块链实现。本次课程主要介绍:1.ERC20标准介绍2.ERC20标准实现3.合约安全注意事项4.投票功能实现5.分账功能实现
解密智能合约TOP10安全漏洞
热门推荐
softgmx的博客
11-22 1万+
以下都是来自我的新作《解密EVM机制及合约安全漏洞》里的内容 电子版PDF下载:https://download.csdn.net/download/softgmx/10800947   重入问题 漏洞成立的条件: 合约调用带有足够的gas 有转账功能(payable) 状态变量在重入函数调用之后 底层转账函数 防重入 错误处理 ...
msg.sender
最新发布
01-25
msg.sender是Solidity语言中的一个特殊变量,用于表示当前调用合约的地址。在Solidity中,合约可以被多个地址调用,而msg.sender就是指向当前调用者的地址。 msg.sender的值是动态的,它取决于调用合约的地址。当...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

洞见区块链

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值