【ERC20安全审计】——30、合约检测绕过漏洞刨析

于 2024-08-05 15:49:24 发布
阅读量1 收藏
点赞数
分类专栏: 【Web3安全—区块链安全】 文章标签: 区块链 智能合约 合约审计 公链审计 区块链安全 web3 web3安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/140928943
版权
文章前言

智能合约是区块链技术的重要应用之一,它能够实现去中心化的交易和智能化的合约执行,然而智能合约安全问题一直是困扰区块链行业的一个难题,本篇文章我们将主要介绍在合约中对于合约地址检查的方法以及其绕过方式,希望能够为读者提供有益的参考和借鉴

交互方式

在以太坊智能合约中交互的场景有内部交互和外部交互

内部交互

在以下示例代码中ContractA合约通过调用ContractB合约的getNumber函数来获取ContractB合约中保存的数字,可以看到在下面的代码中ContractA合约通过构造函数接收ContractB合约的实例,然后调用getNumberFromB函数来获取ContractB合约中保存的数字,这是一种典型的内部交互场景,调用者和被调用者都是智能合约

pragma solidity ^0.8.0;

contract ContractB {
    uint256 public number;

    function setNumber(uint256 _number) public {
        number = _number;
    }

    function getNumber() public view returns (uint256) {
        return number;
    }
}

contract ContractA {
    ContractB public contractB;

    constructor(ContractB _contractB) {
        contractB = _contractB;
    }

    function getNumberFromB() public view returns (uint256) {
        return contractB.getNumber();
    }
}
外部交互</
了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
构造形式化证明,解决智能合约安全问题——你的合约亟待证明
SECBIT区块链安全实验室
07-07 1484
安比(SECBIT)实验室与 Consensys 中国、轻信科技等团队联手,在智能合约安全的形式化证明领域展开深度合作。 智能合约安全问题始终是萦绕在数字货币各个项目方、开发者和投资者心头的一颗定时炸弹。越来越多的安全团队积极参与,试图通过更完备手段来解决合约安全问题。安比(SECBIT)实验室认为,形式化验证与传统的“测试+审计”方式相结合,将会是保证智能合约安全强有力的手段。 7月7日...
ERC20智能合约整数溢出系列漏洞披露
10-16
ERC20智能合约整数溢出系列漏洞披露】揭示了智能合约区块链安全领域面临的严峻挑战。自2016年的The DAO事件以来,智能合约已成为安全问题的热点,其中包括了诸如BEC、BAI、EDU等多个案例,最近EOS的漏洞也展示了...
ERC20安全审计】——18、整形溢出漏洞挖掘
最新发布
Fly_鹏程万里
08-05 118
整型溢出问题发生的根源还是在于合约的开发者在开发合约时未考虑到“整型溢出”问题,作为审计人员的我们在看到合约时也要保持清醒,对于存在疑惑的地方应该采用“调试、验证”的方法去排除疑虑,而且在审计的过程中也要十分的认真、细心才可以,不要放过任何一个有可能存在问题的地方,例如修饰器/修饰词对应的权限问题、逻辑处理问题等等。
智能合约随想——一些简单的Solidity智能合约漏洞/攻击
weixin_73794026的博客
04-25 893
一个没啥干货的Solidity智能合约审计随想,外加一些杂七杂八的知识,大佬们轻点喷QAQ
智能合约审计】————23、EthLendToken
Fly_鹏程万里
02-22 382
合约地址:https://etherscan.io/address/0x80fB784B7eD66730e8b1DBd9820aFD29931aab03#code pragma solidity ^0.4.16; contract SafeMath { function safeMul(uint a, uint b) internal returns (uint) { ...
以太坊安全————以太坊智能合约安全入门了解一下(下)
Fly_鹏程万里
06-19 820
3. Arithmetic Issues算数问题?通常来说,在编程语言里算数问题导致的漏洞最多的就是整数溢出了,整数溢出又分为上溢和下溢。整数溢出的原理其实很简单,这里以 8 位无符整型为例,8 位整型可表示的范围为 [0, 255],255 在内存中存储按位存储的形式为(下图左):8 位无符整数 255 在内存中占据了 8bit 位置,若再加上 1 整体会因为进位而导致整体翻转为 0,最后导致原...
Web3常见钓鱼方式分析与安全防范建议
2401_84488651的博客
06-16 1023
Web3钓鱼是一种针对Web3用户的常见攻击手段,通过各种方式窃取用户的授权、签名,或诱导用户进行误操作,目的是盗窃用户钱包中的加密资产。近年来,Web3钓鱼事件不断出现,且发展出钓鱼即服务的黑色产业链(Drainer as a Service, DaaS),安全形势严峻。本文中,SharkTeam将对常见的Web3钓鱼方式进行系统分析并给出安全防范建议,供大家参考,希望能帮助用户更好的识别钓鱼骗局,保护自身的加密资产安全
Solidity 安全:已知攻击方法和常见防御模式综合列表
热门推荐
跨链技术践行者
05-12 1万+
目录 重入漏洞 漏洞 预防技术 真实世界的例子:DAO 算法上下溢出 漏洞 预防技术 实际示例:PoWHC和批量传输溢出(CVE-2018-10299) 不期而至的Ether 漏洞 预防技术 真实世界的例子:未知 Delegatecall 漏洞 预防技术 真实世界的例子:Parity Multisig Wallet...
以太坊智能合约安全入门了解一下(下)
omnispace的博客
05-29 4449
作者:RickGray作者博客:http://rickgray.me/2018/05/26/ethereum-smart-contracts-vulnerabilities-review-part2/(注:本文分上/下两部分完成,上篇链接《以太坊智能合约安全入门了解一下(上)》) 接上篇3. Arithmetic Issues算数问题?通常来说,在编程语言里算数问题导致的漏洞最多的就是整数溢出了,...
以太坊标准接纳中国团队安全建议 -- EIP827安全事件跟踪
SECBIT区块链安全实验室
07-16 400
6月24号(2018),安比(SECBIT)实验室 与 轻信科技 发现了不少 ERC827 合约实现存在类ATN Token 漏洞。黑客可以利用该漏洞,以合约的身份调用任意合约地址上的任意函数。其中大部分问题合约参考了 OpenZeppelin 官方提供的 ERC827 模板,安比(SECBIT)实验室小伙伴 p0n1 随即向 OpenZeppelin 项目报告了该问题。Zeppelin 及时移除...
awesome-buggy-erc20-tokens:具有受影响的令牌的ERC20智能合约中的漏洞的集合
02-02
很棒的Buggy ERC20代币 代币受影响的ERC20智能合约中的漏洞集合阅读中文文档: : 免责声明此回购旨在通过收集报告的智能合约问题来通知社区开发安全性此仓库从公共资源中收集所有信息,部分分析由脚本以及手动检查...
Three King Doms - 智能合约安全审计报告1
08-04
智能合约安全审计报告1】概述 智能合约作为区块链技术中的关键组成部分,其安全性对于整个系统的稳定性和用户资产的安全至关重要。这份报告详细介绍了对"Three King Doms"智能合约进行的安全审计过程,旨在识别并...
ERC20合约调用demo
09-18
ERC20合约是基于以太坊(Ethereum)网络的一种代币标准,它定义了在以太坊上创建和管理可互换、可替代数字资产的规则和接口。这个"ERC20合约调用demo"很可能是为了展示如何与ERC20智能合约进行交互,这对于开发去...
新版合约2020ERC20.rar
03-26
**新版ERC20合约详解** ERC20是基于以太坊(Ethereum)网络上的一种智能合约标准,由Ethereum Improvement Proposal (EIP) 20定义。这个标准规定了代币发行和交互的一套接口,使得开发人员能够方便地创建符合此...
计算机基础(Windows 10+Office 2016)教程 —— 第11章 计算机新技术及应用
m0_70617423的博客
08-04 524
云计算 大数据 人工智能 物联网 移动互联网 区块链 其他新技术
从分散到整合,细说比特币发展史
TechubNews的博客
08-01 433
由于需要维持高水平的流动性,导致设计在资本效率上表现不佳,也就是说,需要更多的资金来确保系统的正常运行,而这些资金在大部分时间可能并不会被实际使用,从而降低了资本利用的效率。这种模式带来了扩展和降低成本的好处。正如 Mohamed Fauda 所提到的,当前比特币区块的最大大小为4MB,这意味着每10分钟的时间段内,比特币网络能够处理的数据量最高为4MB。正如前面提到的,比特币设计上是图灵不完备的,而 BitVM 提出了一种在不更改现有操作码的情况下克服这一问题的方法,并提出了一种所谓的无信任桥接机制。
区块链软硬件协同,做产业数字化转型的“安全官” |《超话区块链》直播预告
FISCO_BCOS的博客
07-30 332
8月1日晚8点,我们不见不散。
加密简史:从古代到现代的方法
u013669912的博客
08-03 608
erc20的转移owner权限合约的js代码
05-31
下面是一个 ERC20 合约的转移 owner 权限的代码示例: ```javascript // 导入 web3.js 库 const Web3 = require('web3'); // 设置 web3.js 连接到以太坊网络 const web3 = new Web3('https://ropsten.infura.io/v3/YOUR-PROJECT-ID'); // 设置 ERC20 合约地址和 ABI const contractAddress = '0x123456789abcdef123456789abcdef123456789'; const contractAbi = [/* ERC20 合约 ABI */]; // 通过私钥获取账号地址 const privateKey = '0x0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef'; const account = web3.eth.accounts.privateKeyToAccount(privateKey).address; // 创建 ERC20 合约实例 const contract = new web3.eth.Contract(contractAbi, contractAddress); // 转移 owner 权限 const newOwner = '0x987654321fedcba987654321fedcba987654321'; contract.methods.transferOwnership(newOwner).send({ from: account }) .then((receipt) => { console.log('Transaction receipt:', receipt); }) .catch((error) => { console.error('Error transferring ownership:', error); }); ``` 注意替换代码中的以下部分: - `YOUR-PROJECT-ID`:替换为您的 Infura 项目 ID - `0x123456789abcdef123456789abcdef123456789`:替换为您的 ERC20 合约地址 - `/* ERC20 合约 ABI */`:替换为您的 ERC20 合约 ABI - `0x0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef`:替换为您的私钥 - `0x987654321fedcba987654321fedcba987654321`:替换为您想要转移 owner 权限的地址 请注意,转移 owner 权限需要使用原 owner 的私钥进行签名,因此您需要确保私钥的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值