【ERC20安全审计】——20、访问控制漏洞挖掘

于 2024-08-05 13:51:09 发布
阅读量322 收藏
点赞数 14
分类专栏: 【Web3安全—区块链安全】 文章标签: 区块链 合约审计 公链审计 智能合约 公链安全 web3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/140924802
版权
基础知识
权限的概念

权限是指为了保证职责的有效履行,任职者必须具备的对某事项进行决策的范围和程度。它常常用“具有xxxxxxx的权利”来进行表达,比如:公司的CEO具有否定某项提议的权利,站在合约的管理角度来讲智能合约中的用户可以分为合约的owner、合约的普通用户两类。合约的owner是合约的拥有者,他可以执行合约中所有的函数,合约的普通用户可以执行合约中约定范围内的函数,对于一些对权限有校验或对执行者身份有要求的函数(比如:用onlyowner修饰器修饰的函数)是无法执行的

函数可见性

solidity使用了public、private、internal、external来对函数的可见性进行限定,下面进行简单的介绍: 

public

使用public限定的函数可以被合约内部函数、继承合约、外部合约调用

pragma solidity ^0.4.26;

contract FunctionTest {

	//合约的构造函数
	constructor() public {
    
  	}

	//函数默认的可见性状态为public
	function Func () {}
	
    //使用public修饰的函数可以被合约内部的其他函数调用
    function callFunc1 () {
    	Func();
    }
    
  
}

 contract FunctionTest2 is FunctionTest{

 	//使用public修饰的函数可以被外部合约调用
 	function callFunc2 () {
 		Func();
 	}

}
了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
  • 14
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
长文 | 深度解析Solidity让老司机翻车的17个坑及超详细避坑指南,建议先马后看(附送独家资源)...
区块链大本营
08-12 3582
作者:Dr Adrian Manning译者:老曹、Aholiab说起Solidity,虽然还很初级,但无疑已成为今天区块链开发的常用语言之一,今天以太坊智能合约的很多字...
token-allowance-checker:控制ERC20令牌批准
05-02
赋予用户权力令牌配额检查器将扫描完整的以太坊交易历史记录,以查找由提供的地址进行的ERC20批准。 它会收集所有ERC20代币合同以及用户过去已批准的所有spender地址。 该信息与最新的津贴额一起显示给用户。 对于...
ERC20安全审计】——18、整形溢出漏洞挖掘
Fly_鹏程万里
08-05 116
整型溢出问题发生的根源还是在于合约的开发者在开发合约时未考虑到“整型溢出”问题,作为审计人员的我们在看到合约时也要保持清醒,对于存在疑惑的地方应该采用“调试、验证”的方法去排除疑虑,而且在审计的过程中也要十分的认真、细心才可以,不要放过任何一个有可能存在问题的地方,例如修饰器/修饰词对应的权限问题、逻辑处理问题等等。
ERC20安全审计】——19、重入攻击漏洞挖掘
最新发布
Fly_鹏程万里
08-05 220
以太坊智能合约中的函数通过private、internal、public、external等修饰词来限定合约内函数的作用域(内部调用或外部调用),而我们将要介绍的重入漏洞就存在于合约之间的交互过程,常见的合约之间的交互其实也是很多的,例如:向未知逻辑的合约发送Ether,调用外部合约中的函数等,在以上交互过程看似没有什么问题,但潜在的风险点就是外部合约可以接管控制流从而可以实现对合约中不期望的数据进行修改,迫使其执行一些非预期的操作等。
2018年度区块链安全报告
PeckShield的博客
01-28 2517
报告作者:区块律动 BlockBeats本报告由区块链安全团队 PeckShield(派盾)全程提供数据与技术支持。后台回复「PDF」,获得《2018 年度区块链安全报告...
@程序员,如何淋漓尽致地敲出Solidity安全代码?
区块链大本营
11-09 4324
安全区块链领域举足轻重的话题。本期咱们聊聊合约规范问题引起的严重安全后果。 「区块链大本营」携手「成都链安科技」团队重磅推出「合约安全漏洞解析连载」,以讲故事的方式带你回顾区块链安全走过的历程;分析漏洞背后的玄机。让开发者在趣味中学习,写出更加牢固的合约,防患于未然。 当然,这些文章并不是专为开发者而作的,即使你不是开发者,当你读完本连载,相信再有安全问题爆出时,你会有全新的理解。 ...
2020 Q2 DeFi报告:流动性挖矿狂热未带来新用户,DeFi任重道远
weixin_44383880的博客
07-16 912
翻译|DeFi之道 Kyle自3月以来,DeFi生态系统不仅恢复了增长,而且活动量也显着增加,这主要归功于2020年6月COMP的发行。加上一些引人注目的安全事件,本季度DeFi显然一直...
the security of smart contract- 2
weixin_34380781的博客
09-29 526
出处:https://cloud.tencent.com/developer/article/1192548 深度解析Solidity的17个坑及超详细避坑指南 写的很好,好好学习 1. Re-Entrancy重新入口,可重入性 本博客the security of smart contract- 1中已经解释过原因,这里用例子说明: pragma solidity ^0.4.23;...
区块链开发的权威指南
albertjone的博客
03-16 657
原文:https://medium.freecodecamp.org/the-authoritative-guide-to-blockchain-development-855ab65b58bc新的csdn的编辑器真的不好用,没markdown好用。加密货币,ICOS,神奇的网络货币——这些都是非常让人激动的疯狂事件。也是你们这些充满激情的开发者所希望加入的。我很高兴你对这个领域非常感兴趣。我也是...
区块链开发者
伏虎游侠的博客
06-06 1759
https://zhuanlan.zhihu.com/p/33443311AI 前线导读:"加密货币、ICO、互联网催生的金钱产物——所有些东西可真太他妈的让人兴奋了,而你这个开发者是不是也坐不住了,也想拥抱这场疯狂的盛宴?但你应该从哪里开始做起呢?很高兴你跟我志同道合,都对这个领域超级感兴趣。但是,我猜你可能发现自己目前处于困惑的处境,因为在区块链飞速发展的时代,你还没有明确的渠道来学习相关知识...
前Airbnb工程师:成为区块链开发者的权威指南
Mark的博客
08-24 587
原文| The authoritative guide to blockchain development 发表时间| 2018.1.27 作者| Haseeb Qureshi 编译 | Debra 中文版原文|前Airbnb工程师:如何零基础猥琐发育成区块链开发者? 导读 加密货币、ICO、互联网催生的金钱产物——所有些东西可真太他妈的让人兴奋了,而你这个开发者是不是也坐不住了...
erc20-explorer:基于ERC20的以太坊令牌的浏览器
02-05
ERC20-出口商基于ERC20的以太坊代币的轻量级浏览器ERC20-Exporter是使用NodeJS,Express和Parity构建的资源管理器。 它不需要外部数据库,并且可以从后端以太坊节点即时获取所有信息。 在上可以找到连接到Golem网络...
bryllite-ico:Bryllite代币ICO和ERC20合同代码
05-16
关于Bryllite项目 ... 公开预售:2018年4月16日至2018年6月30日(最少参与者:20,000美元) 公开发售时间:2018年7月9日至2018年7月27日(最低参与者:1,000美元) 有关更多信息,请访问 支持 官方网站:
contracts:Enzym ERC20令牌(ZYM)
05-10
智能合约 ... ERC20令牌,其中包括一些附加内容:approveAndCall,transferAndCall,incrementApproval和reducingApproval 1000,000,000令牌 住在以太坊区块链上 主网 ZYM: Testnet(科文) ZYM:
ERC20Token.sol
08-03
可部署于以太坊和所有支持solidity ^0.5.17版本的智能合约区块链平台,ERC20 token合约代码,包含合约暂停,账户冻结,增发,销毁等功能
计算机基础(Windows 10+Office 2016)教程 —— 第11章 计算机新技术及应用
m0_70617423的博客
08-04 506
云计算 大数据 人工智能 物联网 移动互联网 区块链 其他新技术
从分散到整合,细说比特币发展史
TechubNews的博客
08-01 429
由于需要维持高水平的流动性,导致设计在资本效率上表现不佳,也就是说,需要更多的资金来确保系统的正常运行,而这些资金在大部分时间可能并不会被实际使用,从而降低了资本利用的效率。这种模式带来了扩展和降低成本的好处。正如 Mohamed Fauda 所提到的,当前比特币区块的最大大小为4MB,这意味着每10分钟的时间段内,比特币网络能够处理的数据量最高为4MB。正如前面提到的,比特币设计上是图灵不完备的,而 BitVM 提出了一种在不更改现有操作码的情况下克服这一问题的方法,并提出了一种所谓的无信任桥接机制。
区块链软硬件协同,做产业数字化转型的“安全官” |《超话区块链》直播预告
FISCO_BCOS的博客
07-30 326
8月1日晚8点,我们不见不散。
有此五者,投资想不赚钱都难。
刘教链
07-30 384
原创 | 刘教链昨天[“7.29教链内参:BTC兵临7万刀城下”],一度冲破7万刀防线之后,即迅速跌落,至今早已大幅回撤至66k附近。多空交兵,龙战于野,其血玄黄。今明两天美联储就要开会了。2024年7月份的FOMC议息会议。这是早就安排好了的日程。没有安排好的,是风云诡谲的全球局势,暗流涌动的经济形势,错综复杂的宏观数据,以及,意外频出的美国政治。市场上传来消息,美联储或将要修改声明,承认近期通...
php erc20多签
04-19
PHP ERC20多签是一种基于以太坊的智能合约,用于实现多方参与的数字资产交易。ERC20是以太坊上最常见的代币标准,而多签则是指需要多个账户共同授权才能执行交易的机制。 在PHP中,你可以使用以太坊的Web3库来与智能合约进行交互。首先,你需要安装Web3库,并连接到以太坊网络。然后,你可以通过合约地址实例化一个合约对象,并调用其方法来执行相应的操作,如创建多签账户、添加授权成员、执行交易等。 以下是一个简单的PHP代码示例,用于创建一个ERC20多签合约: ```php <?php require 'vendor/autoload.php'; // 引入Web3库 use Web3\Web3; use Web3\Contract; $web3 = new Web3('http://localhost:8545'); // 连接到以太坊节点 $contractAddress = '0x1234567890abcdef'; // 合约地址 $contractABI = '[{"constant":true,"inputs":[],"name":"name","outputs":[{"name":"","type":"string"}],...}]'; // 合约ABI $contract = new Contract($web3->provider, $contractABI); $contract->at($contractAddress); // 调用合约方法 $result = $contract->call('methodName', [$param1, $param2]); // 处理返回结果 if ($result) { echo "交易成功!"; } else { echo "交易失败!"; }
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值