【ERC20安全审计】——32、合约权限校验错误

于 2024-08-06 09:41:55 发布
阅读量6 收藏
点赞数
分类专栏: 【Web3安全—区块链安全】 文章标签: 区块链 合约审计 公链审计 合约安全 web3 web3安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/140945734
版权
文章前言

随着区块链技术的不断发展,智能合约作为其重要的应用之一,已经被广泛应用于各种领域,但是智能合约的安全问题一直备受关注,其中变量覆盖攻击是一种常见的攻击方式,本文将详细介绍变量覆盖攻击的原理、攻击方式以及如何避免该攻击,希望能够帮助读者更好地理解智能合约安全问题并提高其安全意识

基础知识

在Solidity中变量的数据位置(storage或memory)取决于它们的用途和声明方式,这里有一些关于如何区分它们的规则:

状态变量(State variables):状态变量是在合约级别声明的变量,它们的数据位置默认为storage,状态变量的生命周期与合约实例相同,即使在函数调用之间也会保持它们的值

pragma solidity ^0.8.0;

contract MyContract {
    // 这是一个存储(storage)状态变量
    uint256 public myStorageVariable;
}

局部变量(Local variables):局部变量是在函数内部声明的变量,它们的默认数据位置是memory,局部变量的生命周期仅限于函数调用,一旦函数执行完毕它们的值就会被丢弃

pragma solidity ^0.8.0;

contract MyContract {
    function myFunction() public {
        // 这是一个内存(memory)局部变量
        uint256 myLocalVariable = 42;
    }
}

显式指定数据位置:在某些情况下你需要显式指定数据位置,例

了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
ERC20安全审计】——20、访问控制漏洞挖掘
Fly_鹏程万里
08-05 333
Solidity编写合约和面向对象编程语言非常相似,我们可以用构造函数(constructor)来初始化合约对象,Solidity中构造函数就是方法名和合约名字相同的函数,创建合约时会调用构造函数对状态变量进行数据初始化操作。构造函数可用的函数类型为public或internal,如果有payable修饰,就只能是public类型。而大部分人的写法都是 public或者不写。不写类型则由函数可见性默认为public类型。同时,如果构造函数带参数,则一定要放在合约下的第一个函数。
ERC20安全审计】——18、整形溢出漏洞挖掘
Fly_鹏程万里
08-05 125
整型溢出问题发生的根源还是在于合约的开发者在开发合约时未考虑到“整型溢出”问题,作为审计人员的我们在看到合约时也要保持清醒,对于存在疑惑的地方应该采用“调试、验证”的方法去排除疑虑,而且在审计的过程中也要十分的认真、细心才可以,不要放过任何一个有可能存在问题的地方,例如修饰器/修饰词对应的权限问题、逻辑处理问题等等。
ERC20安全审计】——31、合约权限校验错误
最新发布
Fly_鹏程万里
08-06 5
tx.origin是Solidity的一个全局变量,它遍历整个调用栈并返回最初发送调用(或事务)的帐户的地址,在智能合约中使用此变量进行身份验证可能会使合约受到类似网络钓鱼的攻击合约中的selfdestruct函数用于自毁操作,如果没有绝对必要可以考虑删除此功能,如果存在该功能,则建议试试多重签名方案,以便多方批准后才可以执行自毁操作//ecrecover接口,利用椭圆曲线签名恢复与公钥相关的地址,错误返回零。if(_from!...
合约协议】——5、ERC-1155标准规范
Fly_鹏程万里
08-04 21
ERC-20基于ERC-20标准开发的代币合约也被统称为"同质化代币(Fungible token,缩写为FT)",其主要的一个特性就是可以无限细分为10^18份,目前大多数ICO使用的代币都是基于ERC-20开发的代币。ERC-721基于ERC-721标准开发的代币合约被统称为"非同质化代币(Non-Fungible Tokens,缩写为NFT)",ERC-721代币相较于ERC-20代币最大的区别就是不可分割性和唯一性,其Token的最小单位为1,且每个Token对不同的用户都有不同的价值含义。
合约协议】——4、ERC-777标准规范
Fly_鹏程万里
08-04 23
A用户授权B用户可以操作A用户amount数量的tokenB用户获得A用户的授权之后调用转账函数进行转账常规运营商:一个地址,允许代表另一个地址发送和记录代币默认运营商:一个地址,允许所有代币持有者发送和记录代币。
Solidity的三种合约间的调用方式 call、delegatecall 和 callcode
weixin_30814329的博客
03-11 1839
0x00 前言 Solidity(http://solidity.readthedocs.io/en/v0.4.24/) 是一种用与编写以太坊智能合约的高级语言,语法类似于 JavaScript。 Solidity 编写的智能合约可被编译成为字节码在以太坊虚拟机上运行。Solidity 中的合约与面向对象编程语言中的类(Class)非常类似,在一个合约中同样可以声明:状态变量、函数、...
你写的智能合约, 可能连1995年的程序员都比不上
区块链大本营
10-25 7943
安全区块链领域举足轻重的话题。本期咱们聊聊,由于智能合约实现与设计不符引起的巨大安全隐患。「区块链大本营」携手「成都链安科技」团队重磅推出「合约安全漏洞解析连载」...
2018年度区块链安全报告
PeckShield的博客
01-28 2517
报告作者:区块律动 BlockBeats本报告由区块链安全团队 PeckShield(派盾)全程提供数据与技术支持。后台回复「PDF」,获得《2018 年度区块链安全报告...
以太坊连载(一):以太坊是什么
weixin_34080571的博客
11-16 286
作者 杨镇【连载序言】以太坊(Ethereum)是世界上第一个也是迄今为止最大的基于区块链技术的智能合约平台。这份手册是其第一个生产版本Homestead的技术手册,主要目的是帮助初中级用户和开发者了解以太坊的方方面面和相关客户端、开发工具的使用。它是由以太坊社区在Github上共同维护的。Github地址:https://github.com/ethereum/homestead-guide...
Three King Doms - 智能合约安全审计报告1
08-04
【智能合约安全审计报告1】概述 智能合约作为区块链技术中的关键组成部分,其安全性对于整个系统的稳定性和用户资产的安全至关重要。这份报告详细介绍了对"Three King Doms"智能合约进行的安全审计过程,旨在识别并...
ERC20合约调用demo
09-18
ERC20合约是基于以太坊(Ethereum)网络的一种代币标准,它定义了在以太坊上创建和管理可互换、可替代数字资产的规则和接口。这个"ERC20合约调用demo"很可能是为了展示如何与ERC20智能合约进行交互,这对于开发去...
ERC20智能合约整数溢出系列漏洞披露
10-16
ERC20智能合约整数溢出系列漏洞披露】揭示了智能合约区块链安全领域面临的严峻挑战。自2016年的The DAO事件以来,智能合约已成为安全问题的热点,其中包括了诸如BEC、BAI、EDU等多个案例,最近EOS的漏洞也展示了...
新版合约2020ERC20.rar
03-26
**新版ERC20合约详解** ...总的来说,新版ERC20合约是对原有标准的升级,旨在提供更好的安全性和功能性,以满足区块链社区的需求。理解和掌握这些知识点对于开发、审计或使用基于以太坊的代币项目至关重要。
ERC20Token.sol
08-03
可部署于以太坊和所有支持solidity ^0.5.17版本的智能合约区块链平台,ERC20 token合约代码,包含合约暂停,账户冻结,增发,销毁等功能
计算机基础(Windows 10+Office 2016)教程 —— 第11章 计算机新技术及应用
m0_70617423的博客
08-04 565
云计算 大数据 人工智能 物联网 移动互联网 区块链 其他新技术
【期货】收盘点评。昨天说的,p2409棕榈油在今天或者周一会走出行情
m0_57729416的博客
08-02 248
【期货】收盘点评。昨天说的,p2409棕榈油在今天或者周一会走出行情
从分散到整合,细说比特币发展史
TechubNews的博客
08-01 457
由于需要维持高水平的流动性,导致设计在资本效率上表现不佳,也就是说,需要更多的资金来确保系统的正常运行,而这些资金在大部分时间可能并不会被实际使用,从而降低了资本利用的效率。这种模式带来了扩展和降低成本的好处。正如 Mohamed Fauda 所提到的,当前比特币区块的最大大小为4MB,这意味着每10分钟的时间段内,比特币网络能够处理的数据量最高为4MB。正如前面提到的,比特币设计上是图灵不完备的,而 BitVM 提出了一种在不更改现有操作码的情况下克服这一问题的方法,并提出了一种所谓的无信任桥接机制。
零碳联盟引领潮流:碳汇经济的非洲机遇
2401_86440386的博客
08-02 249
在全球气候变化日益严峻的背景下,零碳联盟正在非洲大陆开展一系列创新性的碳汇项目,不仅为当地带来了生态效益和经济发展,更为国际投资者开辟了一片绿色投资的沃土。零碳联盟表示:"我们在非洲推进的碳汇项目,为投资者提供了一个独特的机会,既能通过碳信用交易获得可观回报,又能为全球气候治理做出实质性贡献。零碳联盟的碳汇项目不仅具有显著的生态效益,还带来了巨大的社会价值。联盟指出:"我们的项目不仅响应了国家绿色发展战略,还为中国企业获取高质量碳信用提供了重要渠道,有助于企业实现碳中和目标。
erc20的转移owner权限合约的js代码
05-31
下面是一个 ERC20 合约的转移 owner 权限的代码示例: ```javascript // 导入 web3.js 库 const Web3 = require('web3'); // 设置 web3.js 连接到以太坊网络 const web3 = new Web3('https://ropsten.infura.io/v3/YOUR-PROJECT-ID'); // 设置 ERC20 合约地址和 ABI const contractAddress = '0x123456789abcdef123456789abcdef123456789'; const contractAbi = [/* ERC20 合约 ABI */]; // 通过私钥获取账号地址 const privateKey = '0x0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef'; const account = web3.eth.accounts.privateKeyToAccount(privateKey).address; // 创建 ERC20 合约实例 const contract = new web3.eth.Contract(contractAbi, contractAddress); // 转移 owner 权限 const newOwner = '0x987654321fedcba987654321fedcba987654321'; contract.methods.transferOwnership(newOwner).send({ from: account }) .then((receipt) => { console.log('Transaction receipt:', receipt); }) .catch((error) => { console.error('Error transferring ownership:', error); }); ``` 注意替换代码中的以下部分: - `YOUR-PROJECT-ID`:替换为您的 Infura 项目 ID - `0x123456789abcdef123456789abcdef123456789`:替换为您的 ERC20 合约地址 - `/* ERC20 合约 ABI */`:替换为您的 ERC20 合约 ABI - `0x0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef`:替换为您的私钥 - `0x987654321fedcba987654321fedcba987654321`:替换为您想要转移 owner 权限的地址 请注意,转移 owner 权限需要使用原 owner 的私钥进行签名,因此您需要确保私钥的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值