【ERC20安全审计】——22、错误使用随机数漏洞

于 2024-08-05 14:03:45 发布
阅读量2 收藏
点赞数
分类专栏: 【Web3安全—区块链安全】 文章标签: 区块链 合约审计 公链审计 web3安全 智能合约 ERC-20
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/140925290
版权
文章前言

智能合约是区块链技术的重要应用之一,它可以在不需要第三方信任机构的情况下实现自动化的合约执行,然而智能合约的安全性一直是人们关注的焦点之一,本文将介绍智能合约中常见的错误使用随机数的问题,探讨其产生的原因以及如何避免这些问题,希望本文能够对智能合约的安全性提高大家的警惕性

基本介绍

智能合约中的随机数是指在智能合约中生成的、具有随机性质的数字,在智能合约中的随机数常用于以下场景:

  • 抽奖:智能合约可以使用随机数来实现公平的抽奖功能
  • 游戏:智能合约可以使用随机数来模拟游戏中的随机事件,例如:掷骰子、抽卡等
  • 安全性:智能合约可以使用随机数来增加安全性,如在密码学中使用随机数来生成密钥或签名

智能合约中的随机数常常会使用一些区块参数来作为随机数,导致随机数出现可被预测或计算出的风险,常见的区块参数如下:

  • keccak256:哈希函数
  • block.timestamp:当前区块的时间戳
  • block.difficulty:当前区块的难度
  • block.number:当前区块的高度
  • msg.sender:当前交易的发送者地址
  • block.difficulty (uint): 当前区块难度
  • block.number (uint): 当前区块号
  • block.gaslimit (uint): 当前区块gas限额
  • block.coinbase (address): 挖出当前区块的矿工地址
漏洞演示

下面给出一个随机数生成代码示例:


                

        

        

        

    




        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
            

        

    

      

        

            

              
                
                  FLy_鹏程万里
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          

                

                        订阅专栏
                










                



	

		

			

				
					
OpenZeppelin_Token:使用OpenZeppelin创建符合ERC20的令牌

				
			

			

				

					05-01
				

			

		

		

			
				
OpenZeppelin是一个开源的、经过审计安全智能合约库,它为开发者提供了许多预构建的合约模板,如ERC20ERC721等,大大简化了智能合约的开发过程。  首先,我们要了解ERC20标准。ERC20是由以太坊社区提出的代币...

			
		

	



                

              
                



	

		

			

				
					
simple-erc20-example:使用Truffle JS库的简单erc20部署程序

				
			

			

				

					05-24
				

			

		

		

			
				
simple-erc20-示例使用truffle js库的简单erc20部署程序。快速开始将此存储库克隆到您的本地环境。创建一个环境文件$ mv env.example .env$ cat .envINFURA_PROJECT_ID= " xxxxxxxxxxxxxxxxxxxxxxxxx "DEV_PRIVATE_...

			
		

	



                


  
              

                


	

		

			

				
					
erc20-explorer:基于ERC20的以太坊令牌的浏览器

				
			

			

				

					02-05
				

			

		

		

			
				
ERC20-出口商基于ERC20的以太坊代币的轻量级浏览器ERC20-Exporter是使用NodeJS,Express和Parity构建的资源管理器。 它不需要外部数据库,并且可以从后端以太坊节点即时获取所有信息。 在上可以找到连接到Golem网络...

			
		

	





	

		

			

				
					
ERC20智能合约整数溢出系列漏洞披露

				
			

			

				

					10-16
				

			

		

		

			
				
ERC20智能合约整数溢出系列漏洞披露】揭示了智能合约区块链安全领域面临的严峻挑战。自2016年的The DAO事件以来,智能合约已成为安全问题的热点,其中包括了诸如BEC、BAI、EDU等多个案例,最近EOS的漏洞也展示了...

			
		

	



		

			
		



	

		

			

				
					
bryllite-ico:Bryllite代币ICO和ERC20合同代码

				
			

			

				

					05-16
				

			

		

		

			
				
关于Bryllite项目 ... 公开预售:2018年4月16日至2018年6月30日(最少参与者:20,000美元)  公开发售时间:2018年7月9日至2018年7月27日(最低参与者:1,000美元)  有关更多信息,请访问 支持 官方网站:

			
		

	





	

		

			

				
					
erc20faucet:https:peppersec.com制作的ERC20令牌水龙头

				
			

			

				

					02-05
				

			

		

		

			
				
ERC20令牌水龙头 以太坊主网上以及Ropsten,Kovan,Rinkeby和Görli测试网上的ERC20令牌龙头。  访问页面,设置适当的代币数量,单击“免费代币”按钮。 而已!  您将需要一些以太(ETH)来支付网络交易费用。 请...

			
		

	





	

		

			

				
					
awesome-buggy-erc20-tokens:具有受影响的令牌的ERC20智能合约中的漏洞的集合

				
			

			

				

					02-02
				

			

		

		

			
				
很棒的Buggy ERC20代币 代币受影响的ERC20智能合约中的漏洞集合阅读中文文档: : 免责声明此回购旨在通过收集报告的智能合约问题来通知社区开发安全性此仓库从公共资源中收集所有信息,部分分析由脚本以及手动检查...

			
		

	





	

		

			

				
					
token-allowance-checker:控制ERC20令牌批准

				
			

			

				

					05-02
				

			

		

		

			
				
赋予用户权力令牌配额检查器将扫描完整的以太坊交易历史记录,以查找由提供的地址进行的ERC20批准。 它会收集所有ERC20代币合同以及用户过去已批准的所有spender地址。 该信息与最新的津贴额一起显示给用户。 对于...

			
		

	





	

		

			

				
					
ERC20Token.sol

				
			

			

				

					08-03
				

			

		

		

			
				
可部署于以太坊和所有支持solidity ^0.5.17版本的智能合约区块链平台,ERC20 token合约代码,包含合约暂停,账户冻结,增发,销毁等功能

			
		

	





	

		

			

				
					
contracts:Enzym ERC20令牌(ZYM)

				
			

			

				

					05-10
				

			

		

		

			
				
智能合约 ... ERC20令牌,其中包括一些附加内容:approveAndCall,transferAndCall,incrementApproval和reducingApproval  1000,000,000令牌 住在以太坊区块链上 主网 ZYM:  Testnet(科文)  ZYM:

			
		

	





	

		

			

				
					
授权转币接口TRC20ERC20

				
			

			

				

					11-07
				

			

		

		

			
				
授权转币接口TRC20ERC20 开发语言是nodejs做的任何语言可以进行调用使用

			
		

	





	

		

			

				
					
ds-vault:受DSAuth保护的ERC20令牌库

				
			

			

				

					02-16
				

			

		

		

			
				
 受DSAuth保护的ERC20令牌库 每当您需要将令牌持有物分成几个不同的存储桶时,或者当您想建立一个共享帐户(可能由拥有)时,保管库都是有用的。  DSMultiVault可以容纳任意数量的不同ERC20令牌。  DSVault绑定到...

			
		

	





	

		

			

				
					
ds-token:一个简单而充分的ERC20实现

				
			

			

				

					02-05
				

			

		

		

			
				
总结来说,ds-token是一个高效、安全ERC20代币实现,它简化了智能合约的开发过程,同时也为以太坊生态系统的创新提供了坚实的基础。对于想要创建自己的代币或者对智能合约开发感兴趣的开发者而言,ds-token是一个...

			
		

	





	

		

			

				
					
eos21:将您的ERC20令牌传送到EOS

				
			

			

				

					02-05
				

			

		

		

			
				
 将您的ERC20令牌传送到EOS(或任何EOSIO侧链或分叉-例如WAX,TELOS或BOS)。 概要 EOSIO21是启用跨链的协议 :chains: ETH和EOS之间的代币移动。  ETH(ERC20)-> EOS21->任何EOSIO链(代币)  该协议的目的是为应用...

			
		

	





	

		

			

				
					
erc20_tokens:获取以太坊网络上可用的所有ERC20令牌的API及其详细信息

				
			

			

				

					04-27
				

			

		

		

			
				
以太坊上ERC20代币的标准列表:  在找到npm模块。  在https://ethfaction.github.io/erc20_tokens/<network>/<data>上执行GET请求,以GET以太坊网络上所有ERC20令牌的合并json数据。  发出/拉动请求以添加任何丢失的...

			
		

	





	

		

			

				
					
maker-otc:ERC20令牌的简单链上市场

				
			

			

				

					02-05
				

			

		

		

			
				
maker-otc:ERC20令牌的简单链上市场

			
		

	





	

		

			

				
					
erc20-generator:使用最常用的ERC20令牌智能合约生成器,在一分钟内免费创建ERC20令牌。 没有登录。 没有设置。 无需编码

				
			

			

				

					02-05
				

			

		

		

			
				
ERC20-generator中,可能使用了OpenZeppelin的ERC20合约模板,以确保生成的代币具有良好的安全性和可扩展性。  7. **Hardhat**:Hardhat是另一个Ethereum开发工具,提供了更先进的开发、测试和部署功能。尽管在ERC...

			
		

	





	

		

			

				
					
KHToken:另一个ERC20令牌,无错误

				
			

			

				

					05-01
				

			

		

		

			
				
KHToken准备环境: 安装节点将npm更新到最新安装纱回购: 克隆仓库cd ./KHToken测试yarn install npm run test部署方式参考代币标准ERC20: : 实施/测试示例 ...

			
		

	





	

		

			

				
					
revoke.cash::cross_mark:撤销或更改您的ERC20代币配额

				
			

			

				

					02-05
				

			

		

		

			
				
 您是否曾经对批准使用帐户中的ERC20令牌的不同dapp感到不安? 允许您检查已批准的所有代表您花钱的合同,并撤销不再需要的合同的访问权限。 如果您不想完全撤消访问权限,也可以更新允许其使用的金额。  该存储库还...

			
		

	





	

		

			

				
					
erc20的usdt怎么转账,使用js实现

					
最新发布

				
			

			

				

					06-06
				

			

		

		

			
				
使用JS来转账ERC20的USDT,需要使用相应的Web3库。以下是一个简单的示例代码:

```javascript
const Web3 = require('web3');
const EthereumTx = require('ethereumjs-tx').Transaction;

const web3 = new Web3(new Web3.providers.HttpProvider('https://mainnet.infura.io/v3/<YOUR_INFURA_PROJECT_ID>'));

// 以下是需要设置的参数
const privateKey = '<YOUR_PRIVATE_KEY>';
const toAddress = '<RECEIVER_ADDRESS>';
const amount = '<AMOUNT_IN_WEI>';
const contractAddress = '0xdac17f958d2ee523a2206206994597c13d831ec7';
const decimals = 6;
const gasPrice = '1';
const gasLimit = '100000';

// 获取USDT合约对象
const usdtContract = new web3.eth.Contract([
  {
    "constant": true,
    "inputs": [],
    "name": "name",
    "outputs": [
      {
        "name": "",
        "type": "string"
      }
    ],
    "payable": false,
    "stateMutability": "view",
    "type": "function"
  },
  {
    "constant": false,
    "inputs": [
      {
        "name": "_to",
        "type": "address"
      },
      {
        "name": "_value",
        "type": "uint256"
      }
    ],
    "name": "transfer",
    "outputs": [
      {
        "name": "",
        "type": "bool"
      }
    ],
    "payable": false,
    "stateMutability": "nonpayable",
    "type": "function"
  },
  {
    "constant": true,
    "inputs": [],
    "name": "decimals",
    "outputs": [
      {
        "name": "",
        "type": "uint8"
      }
    ],
    "payable": false,
    "stateMutability": "view",
    "type": "function"
  },
  {
    "constant": true,
    "inputs": [],
    "name": "totalSupply",
    "outputs": [
      {
        "name": "",
        "type": "uint256"
      }
    ],
    "payable": false,
    "stateMutability": "view",
    "type": "function"
  },
  {
    "constant": true,
    "inputs": [],
    "name": "symbol",
    "outputs": [
      {
        "name": "",
        "type": "string"
      }
    ],
    "payable": false,
    "stateMutability": "view",
    "type": "function"
  },
  {
    "constant": true,
    "inputs": [
      {
        "name": "_owner",
        "type": "address"
      }
    ],
    "name": "balanceOf",
    "outputs": [
      {
        "name": "balance",
        "type": "uint256"
      }
    ],
    "payable": false,
    "stateMutability": "view",
    "type": "function"
  },
  {
    "anonymous": false,
    "inputs": [
      {
        "indexed": true,
        "name": "from",
        "type": "address"
      },
      {
        "indexed": true,
        "name": "to",
        "type": "address"
      },
      {
        "indexed": false,
        "name": "value",
        "type": "uint256"
      }
    ],
    "name": "Transfer",
    "type": "event"
  }
], contractAddress);

// 获取nonce值
web3.eth.getTransactionCount(web3.eth.accounts.privateKeyToAccount(privateKey).address, 'pending').then(nonce => {
  // 构造交易对象
  const txParams = {
    from: web3.eth.accounts.privateKeyToAccount(privateKey).address,
    nonce: web3.utils.toHex(nonce),
    gasPrice: web3.utils.toHex(gasPrice * 1e9),
    gasLimit: web3.utils.toHex(gasLimit),
    to: contractAddress,
    value: '0x0',
    data: usdtContract.methods.transfer(toAddress, amount).encodeABI()
  };

  // 签名交易
  const tx = new EthereumTx(txParams, {chain: 'mainnet'});
  tx.sign(Buffer.from(privateKey, 'hex'));

  // 发送交易
  const serializedTx = tx.serialize();
  web3.eth.sendSignedTransaction('0x' + serializedTx.toString('hex'))
    .on('transactionHash', txHash => {
      console.log(`Transaction hash: ${txHash}`);
    })
    .on('receipt', receipt => {
      console.log(`Transaction receipt: ${JSON.stringify(receipt, null, 2)}`);
    })
    .on('error', error => {
      console.error(`Transaction error: ${error}`);
    });
});
```

在上述代码中,需要设置以下参数:

- `privateKey`: 发送USDT的账户的私钥
- `toAddress`: 接收USDT的账户的地址
- `amount`: 发送的USDT数量,单位为wei
- `contractAddress`: USDT合约地址
- `decimals`: USDT的小数位数
- `gasPrice`: 交易的gas价格,单位为Gwei
- `gasLimit`: 交易的gas限制

该示例代码使用Infura提供的节点来与以太坊网络进行交互,也可以使用自己的节点。注意,发送USDT需要支付一定的手续费,需要确保发送账户有足够的ETH用于支付手续费。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
FLy_鹏程万里

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值