【ERC20安全审计】——26、变量歧义命名漏洞刨析

于 2024-08-05 15:12:16 发布
阅读量2 收藏
点赞数
分类专栏: 【Web3安全—区块链安全】 文章标签: 区块链 合约审计 公链审计 智能合约 web3 区块链安全 web3安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/140927550
版权

文章前言

Solidity允许在继承时对状态变量进行歧义命名,定义有变量x的合约A可以继承同样含有状态变量x的合约B,这将导致两个单独版本的x,一个可以从合约A访问, 而另一个则需要从合约B访问,在更复杂的合约系统中,这种情况可能不会引起注意, 并随后导致严重的安全问题。

漏洞示例

下面进行一个简单的测试,首先我们来看局部变量与全局变量之间的关系:

pragma solidity 0.4.24;

contract ShadowingInFunctions {
    uint n = 2;
    uint x = 3;

    function test1() constant returns (uint n) {
        return n; // Will return 0
    }

    function test2() constant returns (uint n) {
        n = 1;
        return n; // Will return 1
    }

    function test3() constant returns (uint x) {
        uint n = 4;
        return n+x; // Will return 4
    }
}

首先部署合约:

调用test1函数来测试当同名的全局变量与局部变量同时存在且局部变量未初始化时局部变量作何回应——0:

了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
手把手教你部署一个starnet上的 ERC20合约
西京刀客
12-09 2435
实现 ERC20 是很多刚接触智能合约的小伙伴都需要学习的内容。
erc20-explorer:基于ERC20的以太坊令牌的浏览器
02-05
ERC20-出口商基于ERC20的以太坊代币的轻量级浏览器ERC20-Exporter是使用NodeJS,Express和Parity构建的资源管理器。 它不需要外部数据库,并且可以从后端以太坊节点即时获取所有信息。 在上可以找到连接到Golem网络...
ERC20 协议
chinusyan的专栏
10-24 3357
ERC20
ERC721的简单剖析——继ERC20之后的新的以太坊协议
weixin_42183449的博客
05-15 9847
       ERC20出现之后,我开始去了解什么是ERC20。但是在2017年,一种名为CryptoKitties(加密猫)的以太坊游戏在顷刻间吸引了全球众多虚拟游戏世界里面的玩家,占据了各大媒体以及网站的头条,一只加密猫的价格最高峰竟然达到1亿RMB,究竟是什么东西的存在使得这款游戏变得如此疯狂,使得众多游戏玩家为之而痴迷,接下来就有我来给大家简单的剖析一下CryptoKitties(加密猫)...
《我学区块链》—— 九、ERC20智能合约
xuguangyuansh的博客
05-20 703
九、ERC20标准 1、什么是ERC20        ERC20是以太坊上的一种代币标准,遵循该标准的代币合约,匀可以由一套以太坊代币钱包代码来调用,其带来了良好的兼容性。 &amp
ERC20 智能合约整数溢出系列漏洞披露
Fly_鹏程万里
07-22 1728
从2016年The DAO被盗取6000万美元开始 ,到美链BEC价值归零 、BAI和EDU任意账户转帐 ,再到最近EOS漏洞允许恶意合约穿透虚拟机危害矿工节点 ,“智能合约”俨然成为区块链安全重灾区。“清华-360企业安全联合研究中心”团队在区块链安全方面进行了持续研究,开发了自动化漏洞扫描工具,近期发现了多个新型整数溢出漏洞,可造成超额铸币、超额购币、随意铸币、高卖低收、下溢增持等严重危害...
ERC20标准函数简介与测试方法
sanqima的专栏
11-04 4349
ERC20是以太坊上的一种合约标准,它包含5个函数、2个事件。具体如下: - totalSupply() 代币的总量 - balanceOf() 某个地址上的余额 - transfer() 发送代币 - allowance() 额度、配额、津贴 - approve() 批准给某个地址一定数量的代币(授予额度、授予津贴) - transferFrom() 提取approve授予的代币(提取额度、提取津贴) - Transfer() 代币发送事件 - Approval() 额度批准事件
查看ERC20的精度
sanqima的专栏
02-08 7720
    Erc20的精度decimals,范围为1~18,可以在对应的区块链浏览器explorer里查看。如图(1)所示。下面,介绍查看 ETH链上的ERC20: 0xdac17f958d2ee523a2206206994597c13d831ec7的decimals。 1 直接查看    输入地址 --> 点击[Read] --> 即可查看deciamls。 如图(1)所示,此ERC20的dicimals为6。 https://cn.etherscan.com/address/0xdac17f9
ERC20合约审计初学者指南
Spade_sec的博客
05-11 587
Erc20合约审计初学者指南,包括审计注意事项,和gas优化等
ERC20协议API接口规范
J_Lee
06-09 937
ERC20协议API接口规范
ERC20智能合约整数溢出系列漏洞披露
10-16
ERC20智能合约整数溢出系列漏洞披露】揭示了智能合约区块链安全领域面临的严峻挑战。自2016年的The DAO事件以来,智能合约已成为安全问题的热点,其中包括了诸如BEC、BAI、EDU等多个案例,最近EOS的漏洞也展示了...
erc20faucet:https:peppersec.com制作的ERC20令牌水龙头
02-05
ERC20令牌水龙头 以太坊主网上以及Ropsten,Kovan,Rinkeby和Görli测试网上的ERC20令牌龙头。 访问页面,设置适当的代币数量,单击“免费代币”按钮。 而已! 您将需要一些以太(ETH)来支付网络交易费用。 请...
awesome-buggy-erc20-tokens:具有受影响的令牌的ERC20智能合约中的漏洞的集合
02-02
很棒的Buggy ERC20代币 代币受影响的ERC20智能合约中的漏洞集合阅读中文文档: : 免责声明此回购旨在通过收集报告的智能合约问题来通知社区开发安全性此仓库从公共资源中收集所有信息,部分分析由脚本以及手动检查...
bryllite-ico:Bryllite代币ICO和ERC20合同代码
05-16
关于Bryllite项目 ... 公开预售:2018年4月16日至2018年6月30日(最少参与者:20,000美元) 公开发售时间:2018年7月9日至2018年7月27日(最低参与者:1,000美元) 有关更多信息,请访问 支持 官方网站:
计算机基础(Windows 10+Office 2016)教程 —— 第11章 计算机新技术及应用
最新发布
m0_70617423的博客
08-04 515
云计算 大数据 人工智能 物联网 移动互联网 区块链 其他新技术
区块链软硬件协同,做产业数字化转型的“安全官” |《超话区块链》直播预告
FISCO_BCOS的博客
07-30 329
8月1日晚8点,我们不见不散。
有此五者,投资想不赚钱都难。
刘教链
07-30 386
原创 | 刘教链昨天[“7.29教链内参:BTC兵临7万刀城下”],一度冲破7万刀防线之后,即迅速跌落,至今早已大幅回撤至66k附近。多空交兵,龙战于野,其血玄黄。今明两天美联储就要开会了。2024年7月份的FOMC议息会议。这是早就安排好了的日程。没有安排好的,是风云诡谲的全球局势,暗流涌动的经济形势,错综复杂的宏观数据,以及,意外频出的美国政治。市场上传来消息,美联储或将要修改声明,承认近期通...
加密简史:从古代到现代的方法
u013669912的博客
08-03 594
一个ERC20代币没有实现ERC20Burnable该怎么销毁
06-13
如果一个 ERC20 代币没有实现 ERC20Burnable 接口,那么它不能直接被销毁。但是,可以通过以下方式进行代币销毁: 1. 联系代币的合约开发者,请求他们在合约中添加 ERC20Burnable 接口以便进行代币销毁操作。 2. 将代币发送到一个无法访问的地址,比如一个不存在的地址或一个无私钥的地址。这样,代币就会被永久锁定,从而实现代币销毁。 需要注意的是,在进行代币销毁操作时,一定要小心谨慎,确保不会误操作或造成不可逆转的损失。同时,在进行任何代币销毁操作前,建议先备份好代币的相关信息和私钥,以防止意外情况的发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值