【ERC20安全审计】——33、变量覆盖攻击

于 2024-08-23 10:16:02 发布
阅读量98 收藏
点赞数 4
分类专栏: 【Web3安全—区块链安全】 文章标签: 区块链 智能合约 信任链 去中心化 零知识证明 共识算法 合约审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/141458628
版权
文章前言

随着区块链技术的不断发展,智能合约作为其重要的应用之一,已经被广泛应用于各种领域,但是智能合约的安全问题一直备受关注,其中变量覆盖攻击是一种常见的攻击方式,本文将详细介绍变量覆盖攻击的原理、攻击方式以及如何避免该攻击,希望能够帮助读者更好地理解智能合约安全问题并提高其安全意识

基础知识

在Solidity中变量的数据位置(storage或memory)取决于它们的用途和声明方式,这里有一些关于如何区分它们的规则:

状态变量(State variables):状态变量是在合约级别声明的变量,它们的数据位置默认为storage,状态变量的生命周期与合约实例相同,即使在函数调用之间也会保持它们的值

pragma solidity ^0.8.0;

contract MyContract {
    // 这是一个存储(storage)状态变量
    uint256 public myStorageVariable;
}

局部变量(Local variables):局部变量是在函数内部声明的变量,它们的默认数据位置是memory,局部变量的生命周期仅限于函数调用,一旦函数执行完毕它们的值就会被丢弃

pragma solidity ^0.8.0;

contract MyContract {
    function myFunction() public {
        // 这是一个内存(memory)局部变量
        uint256 myLocalVariable = 42;
    }
}

显式指定数据位置:在某些情况下你需要显式指定数据位置,例

了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
ERC20安全审计】——32、合约权限校验错误
Fly_鹏程万里
08-06 95
随着区块链技术的不断发展,智能合约作为其重要的应用之一,已经被广泛应用于各种领域,但是智能合约安全问题一直备受关注,其中变量覆盖攻击是一种常见的攻击方式,本文将详细介绍变量覆盖攻击的原理、攻击方式以及如何避免该攻击,希望能够帮助读者更好地理解智能合约安全问题并提高其安全意识。
PeckShield:DeFi平台Opyn智能合约漏洞详解——攻击者空手套白狼!
PeckShield的博客
08-06 744
北京时间2020年08月05日,DeFi 期权平台 Opyn 的看跌期权(Opyn ETH Put)智能合约遭到黑客攻击,损失约37万美元。Opyn 是一个通用期权协议,于今年2月份转型...
构造形式化证明,解决智能合约安全问题——你的合约亟待证明
SECBIT区块链安全实验室
07-07 1501
安比(SECBIT)实验室与 Consensys 中国、轻信科技等团队联手,在智能合约安全的形式化证明领域展开深度合作。 智能合约安全问题始终是萦绕在数字货币各个项目方、开发者和投资者心头的一颗定时炸弹。越来越多的安全团队积极参与,试图通过更完备手段来解决合约安全问题。安比(SECBIT)实验室认为,形式化验证与传统的“测试+审计”方式相结合,将会是保证智能合约安全强有力的手段。 7月7日...
“危机四伏”的以太转账操作 | 成都安漏洞分析连载第八期 —— 以太转账安全风险
链安科技的博客
09-19 639
针对区块链安全问题,成都安科技团队每一周都将出智能合约安全漏洞解析连载,希望能帮助程序员写出更加安全牢固的合约,防患于未然。   引子:金风未动蝉先觉 ,暗算无常死不知 —— 《名贤集》之《七言篇》     前情提要   上回讲到:本地变量存储措手不及,意外变量覆盖易帜拔旗。   Solidity语言的默认存储规则和引用未初始化变量带来的特殊性共同导致了未初始化变量将原有状态变...
智能合约安全(基于solidity)
猫撵耗子的博客
02-25 1134
智能合约安全 整数溢出漏洞 加法溢出 乘法溢出 减法溢出 解决方法:采用openzepplin的SafeMath的library 案例一BEC:在乘法时没有使用Safemath 重入漏洞 重入攻击可以简单理解为递归,在以太坊智能合约中,调用外部合约或Ether发送到地址,这些外部调用可能被攻击者劫持。 (1)几种转币方式: transfer()转账失败返回之前状态,只能传送2300Gas和send()转账失败返回false退回之前状态,只能传送2300Gas gas().call.v.
深入解析Safe多签钱包智能合约:代理部署与核心合约
WongSSH的博客
09-06 4779
Safe是目前在以太坊中使用最为广泛的多签钱包。本文主要解析此钱包的逻辑设计和代码编写等,主要涉及代理相关合约和最为复杂的主合约的分析。
盘点!CSDN区块链技术与金融应用发展论坛·香港——海内外重磅嘉宾亮相,分享了哪些精彩内容?(附PPT下载)...
区块链大本营
12-01 1736
2018年11月30日,由中国专业IT社区CSDN、香港科技大学大数据研究所、Virgo Network联合主办的“区块链技术与金融应用发展论坛·香港站——暨CSDN区块...
你写的智能合约, 可能连1995年的程序员都比不上
区块链大本营
10-25 7956
安全区块链领域举足轻重的话题。本期咱们聊聊,由于智能合约实现与设计不符引起的巨大安全隐患。「区块链大本营」携手「成都安科技」团队重磅推出「合约安全漏洞解析连载」...
the security of smart contract- 2
weixin_34380781的博客
09-29 531
出处:https://cloud.tencent.com/developer/article/1192548 深度解析Solidity的17个坑及超详细避坑指南 写的很好,好好学习 1. Re-Entrancy重新入口,可重入性 本博客the security of smart contract- 1中已经解释过原因,这里用例子说明: pragma solidity ^0.4.23;...
erc20-explorer:基于ERC20的以太坊令牌的浏览器
02-05
ERC20-出口商基于ERC20的以太坊代币的轻量级浏览器ERC20-Exporter是使用NodeJS,Express和Parity构建的资源管理器。 它不需要外部数据库,并且可以从后端以太坊节点即时获取所有信息。 在上可以找到连接到Golem网络...
erc20faucet:https:peppersec.com制作的ERC20令牌水龙头
02-05
ERC20令牌水龙头 以太坊主网上以及Ropsten,Kovan,Rinkeby和Görli测试网上的ERC20令牌龙头。 访问页面,设置适当的代币数量,单击“免费代币”按钮。 而已! 您将需要一些以太(ETH)来支付网络交易费用。 请...
bryllite-ico:Bryllite代币ICO和ERC20合同代码
05-16
关于Bryllite项目 ... 公开预售:2018年4月16日至2018年6月30日(最少参与者:20,000美元) 公开发售时间:2018年7月9日至2018年7月27日(最低参与者:1,000美元) 有关更多信息,请访问 支持 官方网站:
ERC20Token.sol
08-03
可部署于以太坊和所有支持solidity ^0.5.17版本的智能合约区块链平台,ERC20 token合约代码,包含合约暂停,账户冻结,增发,销毁等功能
contracts:Enzym ERC20令牌(ZYM)
05-10
智能合约 ... ERC20令牌,其中包括一些附加内容:approveAndCall,transferAndCall,incrementApproval和reducingApproval 1000,000,000令牌 住在以太坊区块链上 主网 ZYM: Testnet(科文) ZYM:
区块链浏览器需求整理
qiqi123j的博客
08-19 510
区块链浏览器需求整理。
KT来袭,打造沉浸式体验的聚合性web3应用平台
最新发布
Joker456123的博客
08-22 149
Web3 的引人入胜之处在于其日新月异,KT作为新时代的顶级AI聚合服务平台,焕新起航,将定位于 Web3 新兴生态的安全服务和基础设施建设,未来,KT将欢迎更多开发者与投资者探索智能经济。目标是建立一站式枢纽,用户在一个平台内即可以快速、安全、无需许可的、具有激励的和去中心化的方式获得各种娱乐资源,包括但不限于多款游、流媒体直播、社交Dapp、元宇宙和AR/VR。3) 平台操作简单,主要迎合Web2用户,特别是在东南亚、东亚、中东和北美等成熟的游戏地区,未来用户量将爆发性增长;2) 团队经验丰富。
个股场外期权是什么?个股场外期权个人怎么交易?
qiquandong的博客
08-19 287
今天带你了解个股场外期权是什么?个股场外期权个人怎么交易?场外个股期权是一种具有高风险高杠杆的金融衍生品,对于投资者的要求比较高。
联接散点图|24-08-22
罗小罗同学的博客
08-22 391
关联散点图是一种强大的可视化工具,它结合了散点图和线图的特点,以展示数据随时间或其他有序变量的变化趋势。。在关联散点图中,每个数据点都是通过坐标轴上的点来表示的,这些点按照时间或其他有序变量的顺序排列。与简单的散点图不同,关联散点图通过线段将相邻的数据点连接起来,从而形成了一条折线,这条折线可以直观地显示出数据随时间的波动情况。例如,如果我们使用关联散点图来展示2018年4月比特币价格的演变过程,我们可以从CoinMarketCap网站获取每日的比特币价格数据。
Clearpool 推出 Ozean:专注 RWA 的高性能创新区块链
weixin_66998349的博客
08-22 651
通过其创新的技术架构、强大的合规性和丰富的金融工具,Ozean 为 DeFi 和 RWA 的融合铺平了道路。Ozean 的托管钱包为新用户提供类似 Web2 的体验,简化了代币上、助记词和私钥的安全存储、gas 费和复杂交易的流程,并集成对 RWA 收益的访问。随着市场对更复杂、更强大的金融工具需求的增长,以及真实世界资产(RWA)代币化的庞大需求,Clearpool 8 月 20 日宣布推出专注于 RWA 收益的 Ethereum Layer2 区块链 Ozean。
php erc20多签
04-19
PHP ERC20多签是一种基于以太坊的智能合约,用于实现多方参与的数字资产交易。ERC20是以太坊上最常见的代币标准,而多签则是指需要多个账户共同授权才能执行交易的机制。 在PHP中,你可以使用以太坊的Web3库来与智能合约进行交互。首先,你需要安装Web3库,并连接到以太坊网络。然后,你可以通过合约地址实例化一个合约对象,并调用其方法来执行相应的操作,如创建多签账户、添加授权成员、执行交易等。 以下是一个简单的PHP代码示例,用于创建一个ERC20多签合约: ```php <?php require 'vendor/autoload.php'; // 引入Web3库 use Web3\Web3; use Web3\Contract; $web3 = new Web3('http://localhost:8545'); // 连接到以太坊节点 $contractAddress = '0x1234567890abcdef'; // 合约地址 $contractABI = '[{"constant":true,"inputs":[],"name":"name","outputs":[{"name":"","type":"string"}],...}]'; // 合约ABI $contract = new Contract($web3->provider, $contractABI); $contract->at($contractAddress); // 调用合约方法 $result = $contract->call('methodName', [$param1, $param2]); // 处理返回结果 if ($result) { echo "交易成功!"; } else { echo "交易失败!"; }
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值