【ERC20安全审计】——25、短地址类攻击漏洞刨析

最新推荐文章于 2024-08-05 15:49:24 发布
最新推荐文章于 2024-08-05 15:49:24 发布
收藏
点赞数
分类专栏: 【Web3安全—区块链安全】 文章标签: 区块链 智能合约 合约审计 公链审计 合约安全 公链安全 web3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/140927197
版权
文章前言

智能合约是区块链技术中的重要组成部分,它能够自动执行合约条款,实现去中心化的交易和资产管理,然而智能合约也存在着安全漏洞,其中之一就是短地址攻击。短地址攻击是指攻击者通过构造特定的交易使得智能合约无法正确处理地址,从而导致资产被盗,本文将深入探讨短地址攻击的原理和防范措施,帮助读者更好地理解智能合约安全问题

基础知识

EVM虚拟机是以太坊智能合约的执行环境,它负责解析合约的字节码并执行相应的操作,在解析合约的字节码时EVM虚拟机会按照指定的格式对字节码进行解析,将其转换为相应的操作码并执行,以下是EVM虚拟机在解析合约的字节码的过程

  1. 将合约的字节码加载到内存中
  2. 从字节码中读取前4个字节,确定该字节码对应的操作码
  3. 根据操作码的类型和参数个数,从字节码中读取相应的参数
  4. 执行该操作码对应的操作,并将结果保存到栈中
  5. 重复步骤2到步骤4,直到字节码被完全解析并执行完毕

假设有一个ERC20智能合约,代码如下:

pragma solidity ^0.8.0;

contract MyToken {
    string public name = "MyToken";
    string public symbol = "MTK";
    uint8 public decimals = 18;
    uint256 public totalSupply = 1000000 * 10 ** uint256(decimals);
    mapping(address => uint256) public balanceOf;
    mapping(address => mapping(ad
了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
erc20-explorer:基于ERC20的以太坊令牌的浏览器
02-05
ERC20-出口商基于ERC20的以太坊代币的轻量级浏览器ERC20-Exporter是使用NodeJS,Express和Parity构建的资源管理器。 它不需要外部数据库,并且可以从后端以太坊节点即时获取所有信息。 在上可以找到连接到Golem网络...
erc20faucet:https:peppersec.com制作的ERC20令牌水龙头
02-05
ERC20令牌水龙头 以太坊主网上以及Ropsten,Kovan,Rinkeby和Görli测试网上的ERC20令牌龙头。 访问页面,设置适当的代币数量,单击“免费代币”按钮。 而已! 您将需要一些以太(ETH)来支付网络交易费用。 请...
ERC20安全审计】——28、evilReflex攻击漏洞刨析
Fly_鹏程万里
08-05 2
在这篇文章中,我们对曾经出现过的一种叫做evilReflex的安全漏洞进行分析研究,攻击者可以通过该漏洞将存在evilReflex漏洞合约中的任意数量的token转移到任意地址
ERC20安全审计】——23、条件竞争漏洞刨析
Fly_鹏程万里
08-05 2
以太坊节点汇集交易并将其形成块,一旦矿工解决了共识机制那么这些交易就被认为是有效的,解决该区块的矿工也会选择来自该矿池的哪些交易将包含在该区块中,至于优先选取那些交易打包通常是由gasPrice交易决定的,在这里有一个潜在的攻击媒介就是攻击者可以观察事务池中是否存在可能包含问题解决方案的事务,如果存在那么可以通过修改或撤销攻击者的权限或更改合约中的对攻击者不利的状态,从这个事务中获取数据并创建一个更高级别的事务gasPrice并在原始之前将其交易包含在一个区块中,从而获利。
ERC20安全审计】——19、重入攻击漏洞挖掘
Fly_鹏程万里
08-05 222
以太坊智能合约中的函数通过private、internal、public、external等修饰词来限定合约内函数的作用域(内部调用或外部调用),而我们将要介绍的重入漏洞就存在于合约之间的交互过程,常见的合约之间的交互其实也是很多的,例如:向未知逻辑的合约发送Ether,调用外部合约中的函数等,在以上交互过程看似没有什么问题,但潜在的风险点就是外部合约可以接管控制流从而可以实现对合约中不期望的数据进行修改,迫使其执行一些非预期的操作等。
ERC20安全审计】——30、合约检测绕过漏洞刨析
最新发布
Fly_鹏程万里
08-05 1
智能合约区块链技术的重要应用之一,它能够实现去中心化的交易和智能化的合约执行,然而智能合约安全问题一直是困扰区块链行业的一个难题,本篇文章我们将主要介绍在合约中对于合约地址检查的方法以及其绕过方式,希望能够为读者提供有益的参考和借鉴。
ERC20安全审计】——24、拒绝服务攻击漏洞刨析
Fly_鹏程万里
08-05 2
智能合约区块链技术的核心应用之一,它能够自动执行合约中的交易和操作从而实现去中心化的交易和应用,然而智能合约也存在着一些安全风险,其中之一就是DOS攻击,该攻击主要通过占用合约的计算资源或利用合约的业务逻辑设计缺陷使合约无法正常运行或响应缓慢,从而影响交易的执行和系统的稳定性,本文将详细介绍智能合约中的DOS攻击原理、实例代码和修复代码,帮助读者了解如何防范和避免这种攻击方式以确保智能合约安全和稳定性。
ERC20安全审计】——18、整形溢出漏洞挖掘
Fly_鹏程万里
08-05 117
整型溢出问题发生的根源还是在于合约的开发者在开发合约时未考虑到“整型溢出”问题,作为审计人员的我们在看到合约时也要保持清醒,对于存在疑惑的地方应该采用“调试、验证”的方法去排除疑虑,而且在审计的过程中也要十分的认真、细心才可以,不要放过任何一个有可能存在问题的地方,例如修饰器/修饰词对应的权限问题、逻辑处理问题等等。
ERC20安全审计】——22、错误使用随机数漏洞
Fly_鹏程万里
08-05 1
智能合约区块链技术的重要应用之一,它可以在不需要第三方信任机构的情况下实现自动化的合约执行,然而智能合约安全性一直是人们关注的焦点之一,本文将介绍智能合约中常见的错误使用随机数的问题,探讨其产生的原因以及如何避免这些问题,希望本文能够对智能合约安全性提高大家的警惕性抽奖:智能合约可以使用随机数来实现公平的抽奖功能游戏:智能合约可以使用随机数来模拟游戏中的随机事件,例如:掷骰子、抽卡等安全性:智能合约可以使用随机数来增加安全性,如在密码学中使用随机数来生成密钥或签名。
ERC20安全审计】——21、返回值未检查漏洞
Fly_鹏程万里
08-05 2
随着区块链技术的不断发展智能合约已经成为了区块链世界中不可或缺的重要组成部分,智能合约安全问题一直备受关注,其中返回值未检查是一种常见的漏洞型,本文将从实际案例入手介绍返回值未检查漏洞的危害和防范措施以帮助读者更好地理解智能合约安全问题。
ATN 抵御合约攻击的报告——基于ERC223与DS-AUTH的混合漏洞
Fly_鹏程万里
08-24 438
2018年5月11日中午,ATN技术人员收到异常监控报告,显示ATN Token供应量出现异常,迅速介入后发现Token合约由于存在漏洞受到攻击。本报告描述黑客的攻击操作、利用的合约漏洞以及ATN的应对追踪方法。 攻击: 黑客利用ERC223方法漏洞,获得提权,将自己的地址设为ownerhttps://etherscan.io/tx/0x3b7bd618c49e693c92b2d6bfb3...
awesome-buggy-erc20-tokens:具有受影响的令牌的ERC20智能合约中的漏洞的集合
02-02
很棒的Buggy ERC20代币 代币受影响的ERC20智能合约中的漏洞集合阅读中文文档: : 免责声明此回购旨在通过收集报告的智能合约问题来通知社区开发安全性此仓库从公共资源中收集所有信息,部分分析由脚本以及手动检查...
bryllite-ico:Bryllite代币ICO和ERC20合同代码
05-16
关于Bryllite项目 ... 公开预售:2018年4月16日至2018年6月30日(最少参与者:20,000美元) 公开发售时间:2018年7月9日至2018年7月27日(最低参与者:1,000美元) 有关更多信息,请访问 支持 官方网站:
ERC20智能合约整数溢出系列漏洞披露
10-16
ERC20智能合约整数溢出系列漏洞披露】揭示了智能合约区块链安全领域面临的严峻挑战。自2016年的The DAO事件以来,智能合约已成为安全问题的热点,其中包括了诸如BEC、BAI、EDU等多个案例,最近EOS的漏洞也展示了...
计算机基础(Windows 10+Office 2016)教程 —— 第11章 计算机新技术及应用
m0_70617423的博客
08-04 515
云计算 大数据 人工智能 物联网 移动互联网 区块链 其他新技术
区块链软硬件协同,做产业数字化转型的“安全官” |《超话区块链》直播预告
FISCO_BCOS的博客
07-30 329
8月1日晚8点,我们不见不散。
有此五者,投资想不赚钱都难。
刘教链
07-30 386
原创 | 刘教链昨天[“7.29教链内参:BTC兵临7万刀城下”],一度冲破7万刀防线之后,即迅速跌落,至今早已大幅回撤至66k附近。多空交兵,龙战于野,其血玄黄。今明两天美联储就要开会了。2024年7月份的FOMC议息会议。这是早就安排好了的日程。没有安排好的,是风云诡谲的全球局势,暗流涌动的经济形势,错综复杂的宏观数据,以及,意外频出的美国政治。市场上传来消息,美联储或将要修改声明,承认近期通...
加密简史:从古代到现代的方法
u013669912的博客
08-03 593
erc20地址冻结原理
08-08
ERC20地址冻结是指将某个特定的ERC20代币地址上的代币进行冻结,即在一定时间内不允许该地址进行任何交易或转账操作。 ERC20地址冻结原理主要涉及代币的合约智能合约代码的设计。一般来说,需要进行地址冻结的操作是在智能合约中定义的,通过在合约代码中增加相关的判断条件和逻辑实现。 首先,需要在智能合约中定义一个包含冻结标识的数据结构,用于记录地址是否被冻结的状态。通常可以使用一个映射(mapping)数据结构来实现,将地址作为映射的键,冻结标识作为值。 其次,智能合约中需要添加一组冻结相关的方法,用于实现地址冻结和解冻的操作。比如可以添加一个freezeAddress()方法用于冻结地址,该方法会将对应地址的冻结标识设置为true;再加上一个unfreezeAddress()方法用于解冻地址,将冻结标识设置为false。 当需要冻结某个地址时,只需要调用智能合约的freezeAddress()方法,并传入要冻结的地址作为参数即可。同理,解冻操作也是似的,调用unfreezeAddress()方法并传入地址参数。 最后,在智能合约的其他交易或转账方法中,可以通过判断冻结标识的值来确定是否允许进行操作。比如在转账方法中,在进行转账前可以通过判断目标地址是否被冻结来决定是否继续转账操作。 总的来说,ERC20地址冻结原理是通过智能合约中的逻辑判断和数据记录来实现的,根据需要冻结或解冻的地址来修改冻结标识的值,进而限制或允许地址的交易和转账操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值