注意!3份合约又存在Owner权限被盗问题——低级错误不容忽视

最新推荐文章于 2023-04-29 16:09:30 发布
最新推荐文章于 2023-04-29 16:09:30 发布
阅读量1.1k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CDLianan/article/details/81044874
版权

7月12日,成都链安科技(LianAn Technology)智能合约审计小组使用自主研发的VaaS平台对以太坊链上智能合约进行安全审计的过程中,发现了3份合约存在新的安全漏洞。此漏洞是合约构造函数constructor()使用不当从而导致Owner权限被盗。



问题描述


以太坊solidity0.4.22引入了新的构造函数声明形式constructor(),该函数引入的目的是避免编程人员在编写构造函数时的命名错误 (如6月22日,MorphToken事件中“Owned”被写成“owned”,没有注意大小写,使owned函数成为一个普通函数,导致任何账户都能调用它,更改owner变量,转移合约所有权)。


然而,由于用户编写函数时习惯性的使用function进行声明,从而导致构造函数constructor的使用引入新的漏洞。


正确的构造函数形式:constructor()  public {    }

错误的构造函数形式:function constructor()  public {    }


成都链安科技使用 VaaS平台对以太坊区块链上智能合约进行了分析,发现如下3份智能合约存在constructor函数使用不当导致Owner权限被盗的问题。


3份合约地址如下,请项目方自查,或与我们取得联系:


▲合约部分地址

最低0.47元/天 解锁文章
成都链安
关注
Java Web3J :使用web3j调用自己的智能合约,返回一个内部有数组的对象结构时出现NPE问题
鄙人kunzhi96,感恩遇见!
01-17 3万+
Java Web3J :使用web3j调用自己的智能合约,返回一个内部有数组的对象结构时出现NPE问题
web3: 智能合约
最新发布
鄙人kunzhi96,感恩遇见!
01-04 1万+
智能合约(英语:Smart contract)是一种旨在以信息化方式传播,旨在提供、验证及执行的计算机协议。具体来说,智能合约是区块链被称之为“去中心化的”重要原因,它允许我们在不需要第三方的情况下,执行可追溯、不可逆转和安全的可信交易。智能合约包含了有关交易的所有信息,只有在满足要求后才会执行结果操作。智能合约和传统纸质合约的区别在于智能合约是由计算机生成的,智能合约的参与方受制于有约束力的数字化协议。因此,代码本身解释了参与方的相关义务。
ERC223智能合约ATN币出现owner权限窃取漏洞
Fly_鹏程万里
07-15 991
漏洞评估安全等级:高影响合约:atn-contracts影响方面:导致 ATN Token 总供应量发生变化事件经过:2018.5.11 上午 11:46,ATN 技术人员收到异常监控警示,显示 ATN Token 供应量出现变化,迅速介入后确定 Token 合约受到黑客攻击。ATN 技术团队极速反应,定位到 ERC223 标准推荐合约实现与 ds-auth 库同时使用时可能发生非常罕见的权限漏洞...
我如何才能保护我的私钥?
xfilesystem的博客
06-30 1335
区块链利用非对称加密的方式使用户的密钥分为私钥和公钥,其中公钥公布在网络当中,用于数据交互和地址访问,而私钥则保管在用户手中,用于保护自己的数据和资产安全。
手把手教你智能合约放弃所有权|丢弃权限|丢权限|放弃所有权
qq_30968913的博客
05-14 2184
准备工作 准备好【权限控制】相关代码 有足够的金额来支付gas费用 对智能合约有疑问请参考我的另一篇文章《从零教你学习以太坊ERC20智能合约》 相关操作 请在需要拥有【丢弃权限】功能的合约中添加以下代码,deploy完成后执行renounceOwnership()函数即可完成丢弃权限操作,此时权限地址为0x0000000000000000000000000000000000000000 contract Ownable is Context { address private _owne.
【以太坊 Solidity】管理员读写权限/访问控制/角色控制
Herk 的博客
04-29 2367
在 Solidity 语言的多继承中,若多个合约共同继承一个父合约,则这多个合约共享父合约中的变量和函数。合约继承图:fill:#333;color:#333;color:#333;fill:none;权限管理合约Authority基类合约A基类合约B测试合约Test虽然 合约 A,B,Test 都直接或间接继承了 合约 Authority,但是 合约 A,B,Test 都 “共享” 了 合约 Authority 中的变量 ADMIN函数 isAdmin()等。
linux内核编译——记一次owner 导致的make问题
01-07
问题描述及解决方案 系统环境:ubuntu16.04 在编译内核时遇到如下问题: book@www.100ask.org:/work/system/linux2.6/linux-2.6.22.6$ make CHK include/linux/version.h /bin/sh: 1: cannot create include/linux/...
Solidity实现智能合约——Solidity高级理论(三)
柠檬味小发糕的博客
11-12 2227
Solidity实现智能合约——Solidityg高级理论(三) 在上一节当中我们实现了一个可以初始化创建宠物,并让它进食生成一个新宠物的功能,接下来我们继续对这个系统功能进行完善。 在这一节当中我们将会完成以下的功能:为宠物添加俩个新属性等级和冷却时间,不知道大家有没有发现上一节宠物可以不限制的进食,在这一节当中我们来给它们做一个进食时间的限制,此外我们可以花费gas让我们的宠物升级,对于达到一定等级的宠物我们可以增加一些新权限:对自己宠物进行更改名字或者是更改DNA。 话不多说,我们直接开始吧。 Own
快讯 | 新型constructor函数使用漏洞,可致合约权限丢失、代币增发
区块链大本营
07-13 1323
区块链大本营7月13日讯新型函数声明形式:constructor() public {},在避免合约开发过程中误将构造函数名写错的同时,可致智能合约权限丢失、代币增发。...
011.智能合约的结构——07权限管理
qq_35369459的博客
01-27 1069
智能合约的结构——权限管理
Solidity智能合约开发 — 3.1-合约创建和函数修饰器
qincheng168的博客
08-02 605
智能合约创建和函数修饰器
EOS智能合约中的权限控制
fpcc的专栏
02-04 2120
EOS智能合约中的权限控制 一、EOS中的权限介绍 权限这个概念对于人们来说并不陌生,做开发的人更是绕不过去。EOS中的权限和人们认知的权限基本一致,没有什么特殊之处。但是在区块链中,对帐户中明确的提出权限控制和管理的,EOS算是比较完善的。举一个简单的例子,在比特币和以太坊中,如果私钥被盗,基本上币就没了。可是在EOS中却可以申请把帐户恢复过来。 同样,在EOS中,权限也可以自己组合定义,以...
truffle命令
Harry Wong的博客
02-05 299
摘要truffle编译迁移合约 编译合约 truffle compile truffle compile --all (全部重新编译) 迁移合约 truffle migrate truffle migrate --reset (全部重新执行迁移脚本) ...
solidity 合约权限授权_智能合约编写之Solidity的编程攻略 | FISCO BCOS系列开发教程
weixin_39768762的博客
11-26 1506
3月25日,BSN第二次开发者大赛正式启动,本次大赛以“编写基于多种底层框架的智能合约”为主题,开发者可基于FISCO BCOS等主流底层框架,结合业务场景设计、开发并部署智能合约。为了让大家更好上手智能合约开发,区块链服务网络发展联盟与FISCO BCOS开源社区共同推出“7个课时速成智能合约全能型开发”系列教程,助力开发者学习并熟悉合约开发,轻松应对此次大赛并拔得头筹。系列专题 | 超话区块链...
史上最全的智能合约--扣税,分红,加池子,回流,黑白名单,防机器人,增发,丢权限之分红,加池子
weixin_38532278的博客
10-26 2598
史上最全的智能合约--扣税,分红,加池子,回流,黑白名单,防机器人,增发,丢权限之分红,加池子
Solidity智能合约:msg.owner,msg.sender,tx.origin
Messi-Q Blog
12-21 9590
Difference between msg.owner and msg.sender?     当部署合约时,msg.sender是合约的所有者,如果合约中定义了一个名为“owner”的变量,则可以为其分配值(地址)msg.sender。                                                               address owner =...
关于以太坊账户(外部账户&合约账户)的nonce值
jason_cuijiahui的博客
04-02 4594
简介 nonce值的存在主要是因为它是基于account的,不同于基于utxo的比特币。nonce值主要用来防止重放攻击。 外部账户每发送一笔交易nonce加一。 合约账户每创建一个合约nonce加一。而合约调用其他合约属于内部调用,因此nonce值不变。 nonce使用的几条规则 当nonce太小(小于之前已经有交易使用的nonce值),交易会被直接拒绝。 当nonce太大,交易...
以太坊智能合约安全漏洞 (1):重入攻击
henrynote的博客
08-27 8745
本文转自公众号:亨利笔记 首发于: https://hash1024.org/topics/27 本文的英文原文已有若干个中文翻译版本,但译文和原文都有错漏或不足。本文系基于译者(Henry)的理解,重新翻译并做了修正,并且加入了个人的注解和插图,力求让读者更容易领会原文的含义。为不影响阅读体验,注解没有单独标出, 可当译文 +“笔记”来阅读。感兴趣的读者可参考文末的原文地址。 虽然仍然处...
erc20的转移owner权限合约的js代码
05-31
下面是一个 ERC20 合约的转移 owner 权限的代码示例: ```javascript // 导入 web3.js 库 const Web3 = require('web3'); // 设置 web3.js 连接到以太坊网络 const web3 = new Web3('...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值