【ERC20安全审计】——21、返回值未检查漏洞

最新推荐文章于 2024-08-05 15:49:24 发布
最新推荐文章于 2024-08-05 15:49:24 发布
阅读量4 收藏
点赞数
分类专栏: 【Web3安全—区块链安全】 文章标签: 智能合约 公链审计 合约审计 合约安全 公链安全 web3 web3安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/140925154
版权
文章前言

随着区块链技术的不断发展智能合约已经成为了区块链世界中不可或缺的重要组成部分,智能合约的安全问题一直备受关注,其中返回值未检查是一种常见的漏洞类型,本文将从实际案例入手介绍返回值未检查漏洞的危害和防范措施以帮助读者更好地理解智能合约安全问题

基础知识

Solidity中的<address>.transfer()、<address>.send()、<address>.gas().call.vale()()函数都可以用于向某一地址发送ether,其差别如下:

transfer转账

transfer函数是最常用的转账函数,它的作用是将合约中的以太币或代币转移到指定的地址,如果转账失败该函数将抛出异常并回滚所有更改,其语法如下:

function transfer(address payable recipient, uint256 amount) public returns (bool)

其中recipient是接收方的地址,amount是要转移的金额,函数返回值为bool类型,表示转账是否成功,需要注意的是transfer函数的gas消耗为2300 units且这个消耗是固定的,无论转移的金额是多少都不会变更,如果转移的金额超过了合约的余额,那么转账会失败并且所有更改都将被回滚,以下是一个示例代码

pragma solidity ^0.8.0;

contract TransferExample {
    function transferEther(address payable recipient, uint256 amount) public {
        require(address(this).balance >&#
了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
构造形式化证明,解决智能合约安全问题——你的合约亟待证明
SECBIT区块链安全实验室
07-07 1484
安比(SECBIT)实验室与 Consensys 中国、轻信科技等团队联手,在智能合约安全的形式化证明领域展开深度合作。 智能合约安全问题始终是萦绕在数字货币各个项目方、开发者和投资者心头的一颗定时炸弹。越来越多的安全团队积极参与,试图通过更完备手段来解决合约安全问题。安比(SECBIT)实验室认为,形式化验证与传统的“测试+审计”方式相结合,将会是保证智能合约安全强有力的手段。 7月7日...
eos21:将您的ERC20令牌传送到EOS
02-05
ETH(ERC20)-> EOS21->任何EOSIO链(代币) 该协议的目的是为应用程序开发人员提供一种在链之间移动其令牌和应用程序的标准。 加入,讨论EOS21。 另外,请考虑对sheos21sheos作为Block Producer投票。 建于 -...
ERC20安全审计】——19、重入攻击漏洞挖掘
Fly_鹏程万里
08-05 223
以太坊智能合约中的函数通过private、internal、public、external等修饰词来限定合约内函数的作用域(内部调用或外部调用),而我们将要介绍的重入漏洞就存在于合约之间的交互过程,常见的合约之间的交互其实也是很多的,例如:向知逻辑的合约发送Ether,调用外部合约中的函数等,在以上交互过程看似没有什么问题,但潜在的风险点就是外部合约可以接管控制流从而可以实现对合约中不期望的数据进行修改,迫使其执行一些非预期的操作等。
ERC20安全审计】——30、合约检测绕过漏洞刨析
最新发布
Fly_鹏程万里
08-05 2
智能合约是区块链技术的重要应用之一,它能够实现去中心化的交易和智能化的合约执行,然而智能合约安全问题一直是困扰区块链行业的一个难题,本篇文章我们将主要介绍在合约中对于合约地址检查的方法以及其绕过方式,希望能够为读者提供有益的参考和借鉴。
智能合约随想——一些简单的Solidity智能合约漏洞/攻击
weixin_73794026的博客
04-25 893
一个没啥干货的Solidity智能合约审计随想,外加一些杂七杂八的知识,大佬们轻点喷QAQ
ERC-20将被淘汰?ERC-777能否力挽狂澜?
weixin_33910385的博客
09-28 430
夏天已经悄然过去,除了是时候制定下第四季度的个人计划之外,回顾一下今年的一些重大事件也是好的,比如,由Jordi Baylina、Jacques Dafflon和Thomas Shababi开发的ERC-777代币标准,该标准旨在代替当前最流行的代币标准ERC-20[1]。Jordi于7月20日参加德国DappCon论坛时表示,ERC-777标准已经基本完成开发,并将于8月份全面发布。然而,八月已...
以太坊安全————以太坊智能合约安全入门了解一下(下)
Fly_鹏程万里
06-19 820
3. Arithmetic Issues算数问题?通常来说,在编程语言里算数问题导致的漏洞最多的就是整数溢出了,整数溢出又分为上溢和下溢。整数溢出的原理其实很简单,这里以 8 位无符整型为例,8 位整型可表示的范围为 [0, 255],255 在内存中存储按位存储的形式为(下图左):8 位无符整数 255 在内存中占据了 8bit 位置,若再加上 1 整体会因为进位而导致整体翻转为 0,最后导致原...
“危机四伏”的以太转账操作 | 成都链安漏洞分析连载第八期 —— 以太转账安全风险
链安科技的博客
09-19 624
针对区块链安全问题,成都链安科技团队每一周都将出智能合约安全漏洞解析连载,希望能帮助程序员写出更加安全牢固的合约,防患于然。   引子:金风动蝉先觉 ,暗算无常死不知 —— 《名贤集》之《七言篇》     前情提要   上回讲到:本地变量存储措手不及,意外变量覆盖易帜拔旗。   Solidity语言的默认存储规则和引用初始化变量带来的特殊性共同导致了初始化变量将原有状态变...
Solidity 安全:已知攻击方法和常见防御模式综合列表
热门推荐
跨链技术践行者
05-12 1万+
目录 重入漏洞 漏洞 预防技术 真实世界的例子:DAO 算法上下溢出 漏洞 预防技术 实际示例:PoWHC和批量传输溢出(CVE-2018-10299) 不期而至的Ether 漏洞 预防技术 真实世界的例子:知 Delegatecall 漏洞 预防技术 真实世界的例子:Parity Multisig Wallet...
区块链100讲:智能合约审计指南
HiBlock的博客
06-21 2868
智能合约代码的审计,目前还不是技术社区内经常会讨论的主题。今年3月6日,发表在博客网站【Schneier on Security】上的一篇博客(原文链接:【https://www.schneier.com/blog/archives/2018/03/security_vulner_13.html】,原文中附有一篇专业的研究报告【Finding The Greedy, Prodigal, ...
erc20-explorer:基于ERC20的以太坊令牌的浏览器
02-05
ERC20-出口商基于ERC20的以太坊代币的轻量级浏览器ERC20-Exporter是使用NodeJS,Express和Parity构建的资源管理器。 它不需要外部数据库,并且可以从后端以太坊节点即时获取所有信息。 在上可以找到连接到Golem网络...
ERC20智能合约整数溢出系列漏洞披露
10-16
ERC20智能合约整数溢出系列漏洞披露】揭示了智能合约在区块链安全领域面临的严峻挑战。自2016年的The DAO事件以来,智能合约已成为安全问题的热点,其中包括了诸如BEC、BAI、EDU等多个案例,最近EOS的漏洞也展示了...
bryllite-ico:Bryllite代币ICO和ERC20合同代码
05-16
关于Bryllite项目 ... 公开预售:2018年4月16日至2018年6月30日(最少参与者:20,000美元) 公开发售时间:2018年7月9日至2018年7月27日(最低参与者:1,000美元) 有关更多信息,请访问 支持 官方网站:
erc20faucet:https:peppersec.com制作的ERC20令牌水龙头
02-05
ERC20令牌水龙头 以太坊主网上以及Ropsten,Kovan,Rinkeby和Görli测试网上的ERC20令牌龙头。 访问页面,设置适当的代币数量,单击“免费代币”按钮。 而已! 您将需要一些以太(ETH)来支付网络交易费用。 请...
版图设计及其验证--ERC(电学规则检查
12-09
ERC(Electrical Rule Check,电学规则检查)是这个过程中的关键环节,它主要目的是检测版图中可能存在的电学错误,如器件悬空、短路等问题,这些错误如果不被发现,可能会导致电路性能下降或完全失效。 ERC的执行...
awesome-buggy-erc20-tokens:具有受影响的令牌的ERC20智能合约中的漏洞的集合
02-02
代币受影响的ERC20智能合约中的漏洞集合阅读中文文档: : 免责声明此回购旨在通过收集报告的智能合约问题来通知社区开发安全性此仓库从公共资源中收集所有信息,部分分析由脚本以及手动检查生成此仓库可能不够准确,...
token-allowance-checker:控制ERC20令牌批准
05-02
赋予用户权力令牌配额检查器将扫描完整的以太坊交易历史记录,以查找由提供的地址进行的ERC20批准。 它会收集所有ERC20代币合同以及用户过去已批准的所有spender地址。 该信息与最新的津贴额一起显示给用户。 对于...
OpenZeppelin_Token:使用OpenZeppelin创建符合ERC20的令牌
05-01
OpenZeppelin是一个开源的、经过审计安全智能合约库,它为开发者提供了许多预构建的合约模板,如ERC20、ERC721等,大大简化了智能合约的开发过程。 首先,我们要了解ERC20标准。ERC20是由以太坊社区提出的代币...
php erc20多签
04-19
PHP ERC20多签是一种基于以太坊的智能合约,用于实现多方参与的数字资产交易。ERC20是以太坊上最常见的代币标准,而多签则是指需要多个账户共同授权才能执行交易的机制。 在PHP中,你可以使用以太坊的Web3库来与智能合约进行交互。首先,你需要安装Web3库,并连接到以太坊网络。然后,你可以通过合约地址实例化一个合约对象,并调用其方法来执行相应的操作,如创建多签账户、添加授权成员、执行交易等。 以下是一个简单的PHP代码示例,用于创建一个ERC20多签合约: ```php <?php require 'vendor/autoload.php'; // 引入Web3库 use Web3\Web3; use Web3\Contract; $web3 = new Web3('http://localhost:8545'); // 连接到以太坊节点 $contractAddress = '0x1234567890abcdef'; // 合约地址 $contractABI = '[{"constant":true,"inputs":[],"name":"name","outputs":[{"name":"","type":"string"}],...}]'; // 合约ABI $contract = new Contract($web3->provider, $contractABI); $contract->at($contractAddress); // 调用合约方法 $result = $contract->call('methodName', [$param1, $param2]); // 处理返回结果 if ($result) { echo "交易成功!"; } else { echo "交易失败!"; }
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值