【ERC20安全审计】——27、变量歧义命名漏洞刨析

最新推荐文章于 2024-09-10 17:22:42 发布
最新推荐文章于 2024-09-10 17:22:42 发布
阅读量41 收藏
点赞数
分类专栏: 【Web3安全—区块链安全】 文章标签: 区块链 智能合约 合约审计 web3 web3安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/140927839
版权
文章前言

随着区块链技术的发展,智能合约作为其中的重要组成部分正在被越来越多的人所关注和应用,然而智能合约的安全问题也逐渐浮出水面,其中笔误安全问题是一种常见的智能合约安全问题,它可能会导致智能合约的执行结果与预期不符从而引发一系列风险和损失,本文将深入探讨笔误安全问题的成因、影响和防范措施,希望能够为读者提供有益的参考和借鉴

笔误介绍

智能合约编写过程中常见的笔误问题主要包含以下几类:

  • 构造函数:智能合约初期合约名称和构造函数名称一致,如果构造函数名称和合约名称不一致将导致其变为一个public的函数被任意用户调用,例如:大小写不相同、构造函数后面加s等
  • 数值运算:智能合约中必不可少的涉及到数值计算问题,如果我们将一个数字与变量求和(+=)使用了错误的操作(=+)就会出现笔误(=+是再次初始化变量),一元+运算符在新Solidity编译器版本中已弃用
  • 逻辑比较:智能合约中必不可少的涉及到逻辑比较问题,如果我们将一个逻辑比较大于等于(>=)写成了等于(=),那么将直接导致笔误问题,使得我们逻辑判断条件出现变更的情况
漏洞案例

下面我们使用一个数值运算的笔误问题作为演示,示例合约如下所示:

pragm
了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
ERC20安全审计】——26、变量歧义命名漏洞刨析
Fly_鹏程万里
08-05 44
Solidity允许在继承时对状态变量进行歧义命名,定义有变量x的合约A可以继承同样含有状态变量x的合约B,这将导致两个单独版本的x,一个可以从合约A访问, 而另一个则需要从合约B访问,在更复杂的合约系统中,这种情况可能不会引起注意, 并随后导致严重的安全问题。
手把手教你部署一个starnet上的 ERC20合约
西京刀客
12-09 2487
实现 ERC20 是很多刚接触智能合约的小伙伴都需要学习的内容。
Solidity 智能合约安全漏洞——ERC20 授权欺骗
qq_69584919的博客
08-25 1209
区块链世界中,以太坊的 ERC20 代币标准是最广为人知的代币标准协议之一。然而,在实现 ERC20 标准的过程中,approve 函数的一些误用可能导致严重的安全漏洞,被称为 **ApproveScam**。本文将深入探讨 **ApproveScam** 漏洞的原理、危害以及相应的防范措施。
ERC20 协议
chinusyan的专栏
10-24 3438
ERC20
《我学区块链》—— 九、ERC20智能合约
xuguangyuansh的博客
05-20 735
九、ERC20标准 1、什么是ERC20        ERC20是以太坊上的一种代币标准,遵循该标准的代币合约,匀可以由一套以太坊代币钱包代码来调用,其带来了良好的兼容性。 &amp
ERC20安全审计】——28、evilReflex攻击漏洞刨析
Fly_鹏程万里
08-05 170
在这篇文章中,我们对曾经出现过的一种叫做evilReflex的安全漏洞进行分析研究,攻击者可以通过该漏洞将存在evilReflex漏洞合约中的任意数量的token转移到任意地址。
ERC20安全审计】——27、算术精度问题漏洞刨析
Fly_鹏程万里
08-05 53
Solidity作为一门编程语言也具备和普通编程语言相似的数据结构设计,比如:变量、常量、函数、数组、函数、结构体等等,但是在使用Solidity开发智能合约时,你会发现Solidity和普通编程语言有一个较大的区别——Solidity没有浮点型,且Solidity所有的数值运算结果都只会是整数,不会出现小数的情况,同时也不允许定义小数类型数据。
ERC20安全审计】——25、短地址类攻击漏洞刨析
Fly_鹏程万里
08-05 43
智能合约区块链技术中的重要组成部分,它能够自动执行合约条款,实现去中心化的交易和资产管理,然而智能合约也存在着安全漏洞,其中之一就是短地址攻击。短地址攻击是指攻击者通过构造特定的交易使得智能合约无法正确处理地址,从而导致资产被盗,本文将深入探讨短地址攻击的原理和防范措施,帮助读者更好地理解智能合约安全问题。
[Day 74] 區塊鏈與人工智能的聯動應用:理論、技術與實踐
2401_83208854的博客
09-10 415
智慧城市旨在利用現代科技提升城市管理、公共服務以及生活質量,隨著物聯網(IoT)、大數據與人工智能的發展,區塊鏈技術在智慧城市中的潛力越來越被重視。區塊鏈以其去中心化、安全、透明的特性,可以有效提升智慧城市的數據管理、安全性和可追溯性。本篇文章將探討區塊鏈在智慧城市中的具體應用,並且提供代碼範例,詳細解釋每個代碼的作用。區塊鏈是一種分佈式賬本技術(DLT),能夠通過多方參與者在去中心化的網絡中協作,實現數據的安全共享與記錄。每個區塊包含多筆交易,並通過加密方式與前後區塊連接,形成一個安全且難以篡改的數據鏈。
qmt量化交易策略小白学习笔记第61期【qmt编程之期权行情数据--get_market_data_ex函数】
fanglue3705的博客
09-09 534
获取期权行情数据 获取期权最新数据,首先需要进行数据订阅。完成合约订阅后,用get_market_data_ex函数即可提取相关信息。这个过程包含两大步骤: 第一,通过订阅操作确保能接收到你感兴趣的期权合约的更新; 第二,调用get_market_data_ex函数来实际获取并处理这些订阅到的数据,如果需要用到历史数据或过期合约数据,需要使用download_history_data进行下载。
区块链 + 人才服务】区块链职业技能竞赛平台 | FISCO BCOS应用案例
FISCO_BCOS的博客
09-09 392
区块链职业技能竞赛平台基于 FISCO BCOS 联盟链提供了可靠、安全、高效的区块链服务,带来多方面的成效与意义。
什么是场外个股期权?场外个股期权怎么参与交易?
qiquandongfc的博客
09-09 146
场外个股期权是一种在开放市场上,由交易双方直接协商进行的期权交易,具有高度的定制化和灵活性,但也伴随较高的交易对手风险和流动性风险。场外个股期权是指在场外交易市场(OTC,不通过集中交易所)进行买卖的个股期权。这类期权的交易通常是由金融机构和投资者直接协商、定制的,因此具有较大的灵活性和定制化特点。”的全部内容,希望本文能给您带来帮助,在未来市场交易中收获满满,财源广进!由于不是通过集中交易所交易,存在交易对手违约的风险。可以设计复杂的策略和结构,满足特定的投资或对冲需求,比如定制各种复合期权策略。
区块链学习笔记2--区块链技术的形成 以太坊
最新发布
weixin_61074128的博客
09-10 194
以太坊的定义:以太坊是运行在一个计算机网络中的软件,他确保数据以及智能合约的小程序可以在没有宗信协调者的情况下,被所有网络中的计算机复制和处理。以太坊的改进: 交易速度加快;pow+pos算法,逐步向pos算法过渡;智能合约:不受人为因素影响,没有黑幕;比特币的出现让经济贸易变得简单,而比特币系统的不足,也同样被人诟病。于是出现了致力解决比特币不足的“V神”。以太坊的愿景是创建一个无法停止,抗屏蔽(审查)和自我维持的去中心化世界计算机。比特币的不足:交易速度慢;仅仅完成了货币的去中心化。
2. Fabric 简介
qq_42038997的博客
09-05 551
Canvas允许我们在网络上创建一些绝对惊人的图形。但是它提供的API是极令人失望地低级。如果我们只是想在画布上绘制一些基本形状而忘记它们,那是一回事。但是,只要需要进行任何形式的交互,随时更改图片或绘制更复杂的形状,情况就会发生巨大变化。Fabric旨在解决这个问题。原生canvas方法仅允许我们触发简单的图形命令,盲目地修改整个画布位图。
蚂蚁数科,独行的170天和未来新征程
GZZN2019的博客
09-10 871
大模型不是唯一解。数字化进入深水区,单一技术很难包治百病。
蚂蚁数科独立后首度公布业务进展和战略布局
hiyny2012的博客
09-06 535
当前,东南亚等新兴市场数字化需求旺盛,技术出海已经成为中国企业出海主引擎,赵闻飙表示,“蚂蚁数科也正在积极推进技术出海战略,将通过生态共建等多种策略加大本土化运营力度,抓住东南亚等新兴市场的数字化转型机遇。赵闻飙认为,“产业数字化的需求多种多样,即便是前沿如大模型技术,也很难成为产业数字化的唯一解,因此,蚂蚁数科会投入区块链、物联网、隐私计算、AI等多种数字技术创新,打造数字资产流通网络,释放产业数字化新红利。赵闻飙认为,随着产业数字化逐渐步入深水区,数字技术与传统行业的简单融合,已经不能满足发展需求。
中国传媒业人工智能应用发展图谱2024
易观千帆
09-06 287
传媒产业是指以传播各类信息、知识为核心,通过多种媒介形式进行内容生产、发布和分发的综合性产业。技术的进步和应用对于传媒产业发展变革起到了核心驱动力的作用,2022年生成式AI进入应用爆发期,不仅带动了人工智能产业的进一步增长,也为传媒产业的内容生产和信息交互带来了新的发展范式。2023年以来,生成式 AI技术则掀起 AIGC(人工智能内容生产)新浪潮,糅杂VR/AR、区块链、物联网等种种技术基础上,中国传媒产业加速进入智能化时代,从内容生产、结构布局、综合服务等方面能够变得更智能化。
区块链 + 人才服务】职业技工院校区块链培训平台 | FISCO BCOS应用案例
FISCO_BCOS的博客
09-06 443
运用 FISCO BCOS 联盟链底层技术,培育一批高职专业骨干教师,使其能够掌握区块链工程项目分析设计的方式方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值