【Web3 开发系列教程—创建你的第一个智能合约(7)】智能合约存在的安全挑战

已于 2022-06-03 20:39:23 修改
阅读量875 收藏
点赞数
分类专栏: Web3 实战教程 文章标签: 智能合约 安全 以太坊
于 2022-06-03 20:29:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ImagineCode/article/details/125115617
版权

与更传统的编程语言的大多数案例不同,Solidity 合约倾向于转移大量价值作为其核心功能之一,因此容易受到攻击者的各种高风险攻击,这些攻击者试图从这些不可变的参与者身上榨取资金。

因此,强烈建议开发人员在向主网启动智能合约之前进行审计或聘请审计机构因为一旦发布,就很难追溯修复安全漏洞!
潜在漏洞的类型以及执行这些攻击的方式本身就是一个完整的过程。 下面我会快速概述一下可能存在的主要漏洞,以便你了解需要注意的事项:

重入攻击(Reentrancy)

什么是重入攻击:

如果一个计算机程序或子程序在执行过程中被中断,然后在前一次调用完成之前可被安全地再次调用,则称之为可重入。

这种类型的攻击非常危险,可以让易受攻击的智能合约耗尽所有的以太币,并且非常容易意外提交。 重入攻击的发生是因为 Solidity 的两个关键特性:

  1. 智能合约强制执行——也就是说,它们在执行下一行之前会等待每一行完成。
  2. 智能合约可以调用外部的、不受信任的合约并在继续之前等待结果。

因此,当一个易受攻击的合约 A 对另一个不受信任的合约 B 进行外部调用时,另一个合约 B 可能被恶意更改为对原始合约 A 进行递归调用。如果从合约 A 到 B 的调用涉及发送 任何数量的以太币,这个无限循环都可以在函数完成之前有效地耗尽合约 A 的所有

了解本专栏 订阅专栏 解锁全文 超级会员免费看
编程轨迹_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Web3 开发系列教程创建你的第一个智能合约(5)】窥探智能合约的结构
前端进阶之路 | 中大厂、外企、国企内推 | 面试培训 | 简历修改
06-03 318
定义以太坊智能合约的许多关键概念不同于 web2 时期。在 Solidity 中,合约类型是一种结构,它围绕一个目的组织一组相关功能。地址类型是相当于 20 个字节的以太坊地址,以前缀 0x 开头的十六进制形式表示。作为开发人员,你会熟悉大多数类型 - 包括布尔值、整数、定点数、字节数组和文字。引用类型在 Solidity 中数据有一个额外的属性:存储位置,该属性的可选项为 memory 和 storage 以及 calldata。其中,智能合约的访问权限共有 4 种类型,分别用这 4 中修饰符修饰: pr
智能合约漏洞——外部合约引用
S123456215的博客
05-27 939
​在智能合约中保留其他智能合约实例的引用,也就是声明一个其他智能合约类型的变量。 合约示例: import "SomeEncrypyion.sol";​contract EncrypyionContract { //库智能合约的引用 SomeEncrypyion encrypyionLibrary; //初始化库智能合约引用的构造函数 constructor (SomeEncrypyion _encrypyionLibrary) { encrypyionL
solidity之合约内部创建和外部创建的区别!
weixin_43343144的博客
04-03 1166
如何外部创建调用并合约参考:https://blog.csdn.net/weixin_43343144/article/details/88951698 合约内部创建【在合约内部使用new关键词创建对象】 // 内部创建token合约对象,那么token合约实例的发送者就是Collection合约 contract Collection { // token是public,外部...
区块链联盟链PlatONE Wasm合约开发深入详解
WXblockchain1的博客
01-21 873
联盟链PlatONE支持WASM虚拟机。本文通过一系列代码示例讲解合约的各个功能,用户可以通过学习这些例子来深入理解如何编写一个应用合约。PlatONE代码获取 Contract类 Contract类是有bcwasm库提供的合约基类,用户开发的合约必须派生于该类。Contract类中定义了一个init()虚函数,用户合约需要实现该init()函数,该函数在合约首次发布时执行,仅调用一次,该方法作用类似于solidity合约中的构造函数。 注意: init()方法必须实现为public类型,这样合约在部
以太坊智能合约地址生成之CREATE指令
maxdaic的专栏
06-04 1917
以太坊智能合约地址生成是有规则的,是可以提前预测的。不信,看下面的代码: import ( "encoding/binary" "encoding/hex" "github.com/ethereum/go-ethereum/rlp" "golang.org/x/crypto/sha3" ) //根据RLP编码规则把int变量值转变成字节切片 func RlpInt2Bytes(i int)[]byte { var data [4]byte if i <= 255 { if i =
Web3拍卖智能合约示例以及说明
06-08
Web3拍卖智能合约示例以及说明
web3j-3.4.0 根据智能合约生成java文件
07-29
通过web3j生成java文件,解压后,配置环境变量即可使用。使用cmd命令 web3j version可查看版本。使用web3j solidity generate E:\web3j\hello.bin E:\web3j\hello.abi -p com.sdk.web3j -o E:\web3j\contract\ 编译...
再深刻理解下web3.js中estimateGas如何计算智能合约消耗的gas量
01-08
我们可使用web3.js框架的estimateGas函数获得一个以太坊智能合约的Gas估计值 ,通过执行一个消息调用或交易,该消息调用或交易直接在节点的VM中执行,并未在区块链中确认,函数会返回估算使用的gas量。 函数调用: ...
Java 如何操作智能合约
11-12
Java 如何操作智能合约, 如何获取测试链的数据,如何将solidity智能合约部署到链上,如何免费获得Rinkeby测试链的ETH,如何用web3j将智能合约转换为Java对象以及如果用Java调用智能合约的方法等等。
区块链毕业设计 基于Solidity智能合约+以太坊+Web3物品共享租借系统+部署文档+项目资料齐全 优秀项目
05-09
区块链毕业设计 基于Solidity智能合约+以太坊的分布式的Dapp+Web3物品共享租借系统+部署文档+项目资料齐全 优秀项目 【资源说明】 高分项目源码:此资源是在校高分项目的完整源代码,经过导师的悉心指导与认可,答辩...
智能合约漏洞,2023 年 Web3 中最常见的 10 个漏洞
09-08 450
浮点运算和舍入误差处理不当可能会导致财务差异或合约逻辑被利用。精确处理数值运算,在适用的情况下使用定点算术,对于避免此类漏洞至关重要。通常,这些漏洞可能出现在无需许可的兑换协议中,其中非标准小数位数(decimal)值可能会带来不可预见的后果。重入攻击在以太坊中有着悠久的历史,是造成 The DAO Hack 的漏洞类别,DAO Hack 是 2016 年早期以太坊网络上最大的攻击之一。重入允许攻击者在上一次调用完成之前重复调用易受攻击的合约,从而导致意外的情况发生。状态变化和未经授权的资金转移。
【合约外部调用】solidity语言是一个合约调用另外一个合约【同一个区块链网络】的方法【使用接口声明关系】
weixin_43343144的博客
04-01 4756
solidity官方时间库:https://github.com/pipermerriam/ethereum-datetime 一个如何调用主网智能合约的方法案例!(此案例用Rinkeby测试网络部署) 这里接口的作用:只是用来声明需要调用的方法! 一个如何调用主网智能合约的方法案例! pragma solidity >=0.5.0 <0.7.0; interfac...
【solidity三】Solidity中继承、创建合约和外部调用、合约事件event、solidity中元祖的使用、new、delete关键字的使用、solisity创建合约和外部调用
qq_40585384的博客
05-19 2080
编译器为自动为所有的`public的状态变量`创建访问函数。下面的合约例子中,编译器会生成一个名叫data的无参,返回值是uint的类型的值data。状态变量的初始化可以在定义时完成。
智能合约漏洞类型
软件工程小施同学 的专栏
06-12 529
Are We There Yet? Unraveling the State-of-the-Art Smart Contract Fuzzers | Proceedings of the IEEE/ACM 46th International Conference on Software Engineering
智能合约与身份验证:区块链技术的创新应用
星途码客的博客
06-15 1923
区块链,一个近年来备受瞩目的技术名词,已经从最初的数字货币领域扩展到了众多行业。那么,究竟什么是区块链?它为何如此重要?本文将深入剖析区块链技术的原理、应用及未来发展。区块链,从本质上讲,是一个去中心化的分布式数据库。它由一系列按照时间顺序排列的数据块组成,并采用密码学方式保证不可篡改和不可伪造。每一个数据块中包含了一定时间内的所有交易信息,包括交易的数量、交易的时间、交易双方的账户信息等等,并且每个数据块都被数字签名和加密算法保护,以确保其完整性和真实性。
CAC 2.0融合智谱AI大模型,邮件安全新升级
最新发布
CACTER_S的博客
06-21 187
CAC2.0反钓鱼防盗号已成功引入清华智谱ChatGLM大语言模型!
【启明智显产品分享】Model3工业级HMI芯片详解系列专题(三):安全、稳定、高防护
ami82的博客
06-20 503
Model3芯片具备高达8KV的ESD HBM防护,在恶劣的工业环境中能够抵抗各种电磁干扰,提升系统可靠性;Model3芯片支持高精度电子脉宽调制(EPWM)控制,能够满足复杂电机控制和精细过程控制的需要,在控制应用中更加精准;Model3芯片内置4线电阻触摸屏驱动,为用户提供便捷的交互途径,降低了外围BOM成本。
c++中串口的安全封装使用
jjjxxxhhh123的博客
06-21 105
对于内置类型,如果不显式初始化,它们的值是未定义的,可能包含任何内容。在你的代码中,buffer是一个字符数组,不需要显式初始化,因为你马上就会用::read函数把数据填充进去。字符串构造:如果::read返回负值,那么std::string(buffer, bytes_read)中的bytes_read将是负值,这会导致未定义行为。你需要确保bytes_read是非负的。在上述代码中,我添加了对read函数返回值的检查,以确保没有发生错误。如果::read返回负值,我们将抛出一个异常,以指示读取失败。
智能合约 web3j Java_Java使用web3j调用智能合约
05-17
要使用 Java 调用智能合约,需要使用 web3j 库。web3j 是一个用于与以太坊网络进行交互的轻量级 Java 库。下面是使用 web3j 调用智能合约的一些基本步骤: 1.在项目中添加 web3j 库的依赖: ``` <dependency> <groupId>org.web3j</groupId> <artifactId>core</artifactId> <version>4.5.14</version> </dependency> <dependency> <groupId>org.web3j</groupId> <artifactId>crypto</artifactId> <version>4.5.14</version> </dependency> <dependency> <groupId>org.web3j</groupId> <artifactId>abi</artifactId> <version>4.5.14</version> </dependency> ``` 2.创建一个与以太坊节点进行连接的 Web3j 对象: ``` Web3j web3j = Web3j.build(new HttpService("http://localhost:8545")); ``` 3.构建一个与智能合约进行交互的 Credentials 对象: ``` Credentials credentials = WalletUtils.loadCredentials("password", "/path/to/walletfile"); ``` 4.使用智能合约的地址和 ABI 构建一个 Contract 对象: ``` String contractAddress = "0x123456..."; String contractABI = "..."; Contract contract = Contract.load(contractAddress, web3j, credentials, new DefaultGasProvider(), contractABI); ``` 5.调用智能合约的方法: ``` TransactionReceipt transactionReceipt = contract.methodName(param1, param2).send(); ``` 其中,methodName 是智能合约中定义的方法名,param1 和 param2 是该方法的参数。send() 方法用于发送交易并等待交易被打包,并返回交易回执。 以上是使用 web3j 调用智能合约的基本步骤,具体的实现需要根据实际情况进行调整和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

编程轨迹_

期望和你分享一杯咖啡

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值