初入以太坊,学习调研智能合约——智能合约面临的安全威胁和漏洞类型

最新推荐文章于 2021-09-27 17:00:55 发布
最新推荐文章于 2021-09-27 17:00:55 发布
阅读量667 收藏 1
点赞数
文章标签: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Rui_Rui/article/details/120250648
版权

1、重入攻击

恶意合约A调用某一合约B,让合约B给A转账,恶意合约A在fallback函数中回调合约B给A转账的函数,该函数使用call进行转账因此没有gaslimit限制,并且B记录的A的金额减少是在转账之后。

可重入攻击也就是攻击方发送一笔交易,导致合约一致重复执行直到将合约账户的资源消耗完。这有点类似于C语言的递归函数。攻击方能成功进行可重入攻击,主要依赖于Soildity为智能合约提供的fallback和call函数

以太坊的智能合约,可以声明一个匿名函数(unnamed function),叫做 Fallback 函数,这个函数不带任何参数,也没有返回值。当向这个合约发送消息时,如果没有找到匹配的函数就会调用 fallback 函数。比如向合约转账,但要合约接收 Ether,那么 fallback 函数必须声明为 payable,否则试图向此合约转 ETH 将失败。如下:

function() payable public { // payable 关键字,表明调用此函数,可向合约转 Ether。
}
向合约发送 send、transfer、call 消息时候都会调用 fallback 函数,不同的是 send 和 transfer 有 2300 gas 的限制,也就是传递给 fallback 的只有 2300 gas,这个 gas 只能用于记录日志,因为其他操作都将超过 2300 gas。但 call 则会把剩余的所有 gas 都给 fallback 函数,这有可能导致循环调用。

智能合约之可重入攻击_u010304442的博客-CSDN博客_重入攻击

2、短地址攻击

最低0.47元/天 解锁文章
Mr_Rui_Rui
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应用于数字藏品的智能合约都有哪些安全风险?如何有效防范?
qq_32193015的博客
05-31 1379
国内数字藏品在技术上与NFT并无太大差别,也是通过智能合约来实现业务逻辑,所以合约漏洞安全问题在国内数字藏品上也会存在,我们需谨慎对待。下面我们就来看看数字藏品在智能合约实现存在的安全问题和解决方案。 数字藏品与智能合约 什么是智能合约? 为什么数字藏品的安全问题离不开对智能合约的讨论呢?因为,数字藏品在技术上是通过智能合约实现并运行的。在讨论数字藏品智能合约安全问题之前,我们先来看看什么是智能合约。 20世纪90年代,Nick Szabo首次提出智能合约的概念。当时,他把智能合...
以太坊智能合约漏洞安全测试
HurryPotter
05-09 1241
以太坊智能合约漏洞安全测试 演练平台地址:https://capturetheether.com/challenges/lotteries/guess-the-new-number/ 参考文档:https://www.anquanke.com/post/id/154104 1 Warmup 1.1 Deploy a contract 题目要求: InstallMetaMask. Switch to theRopsten test network. Get some Ropst...
智能合约安全漏洞检测技术研究综述——常见漏洞简述
小楼一夜听春雨
09-23 2835
摘自“钱鹏 等:智能合约安全漏洞检测技术研究综述” 三个层面的安全问题:solidity代码层,evm执行层,区块链系统层 漏洞检测方法:形式化验证法,符号执行法,模糊测试法,间表示法,深度学习法 The Dao重入攻击 parity多签名钱包合约的delegatecall漏洞 bec合约的整数溢出漏洞无限复制代币 EOS.WIN连续随机数攻击 智能合约运行时允许与外部合约函数或接口交互:重复的外部调用 以太坊DAPP总价值应用在博彩、游戏等高风险类别 solidity代码层 1.可重入漏洞 独特的fal
以太坊合约漏洞大集锦——分析、模拟与重现
扶风的博客
11-06 3194
以太坊智能合约,自 DAO以来,漏洞就没断过,觉得有必要做一下汇总,以为鉴。 1,The DAO 漏洞。 该漏洞直接导致了以太坊的分叉。应该算是最有名的明星漏洞了。 我们将源码的无关部分剔除,只剩关键代码。看模拟源码: pragma solidity ^0.4.18; contract TheDAO{ function splitDAO()public{ withdraw...
智能合约审计系列————3、变量覆盖&不一致性检查
Fly_鹏程万里
02-04 1256
前一个阶段笔者更新了智能合约审计系列研究内容,目前将第三篇文章发布于先知平台,主要涉及智能合约开发和审计过程的变量覆盖、不一致性检查的安全性问题,文章目录如下,有兴趣的可以看看: 文章链接:https://xz.aliyun.com/t/7152 ...
以太坊智能合约示例与漏洞分析——竞拍合约
01-08
文章目录一、拍卖合约二、收款地址未定义fallback函数的问题fallback问题的解决方案三、重入攻击(Re-entrancy Attack)的问题重入攻击的解决方案 一、拍卖合约 智能合约定义成员变量、event等,构造函数初始化受益...
以太坊庞氏骗局智能合约数据集
04-27
0为正常合约 1为庞氏骗局合约 数据集来自Chen W , Zheng Z , Cui J ,et al. Detecting Ponzi Schemes on Ethereum: Towards Healthier Blockchain Technology[C]// the 2018 World Wide Web Conference. 2018:1409–...
以太坊智能合约 —— 最佳安全开发指南.pdf
08-29
为了使语句表达更加贴切,个别地方未按照原文逐字逐句...这篇文档旨在为Solidity开发人员提供一些智能合约安全准则(security baseline)。当然也包括智能合约安全开发理念、bug赏金计划指南、文档例程以及工具。
智能合约新项目 链上智能合约前端H5源码 智能合约区块链 以太坊前端调用智能合约
最新发布
06-05
智能合约新项目 链上智能合约前端H5源码 智能合约区块链 以太坊前端调用智能合约
以太坊智能合约.pdf
02-18
尽量通俗易懂,由浅入深的介绍了被称为区块链2.0的以太坊的基本架构和算法,包括MPT树,以太坊数据结构,区块验证机制,智能合约的执行机制等,并且结合了两个简单的智能合约进行了讲解。然后介绍了一些以太坊出现...
智能合约漏洞——时间戳操纵
S123456215的博客
05-28 4618
另一种矿工作恶。 合约逻辑如果某人在区块时间戳正好能被10整除的那个区块第一个向智能合约转10 ether,那么它将获得之前转入合约的所有赌注。 区块是矿工生成的,矿工可以预先知道下一个区块的时间戳是否能被15整除。 ...
以太坊智能合约安全漏洞 (1):重入攻击
henrynote的博客
08-27 8611
本文转自公众号:亨利笔记 首发于: https://hash1024.org/topics/27 本文的英文原文已有若干个文翻译版本,但译文和原文都有错漏或不足。本文系基于译者(Henry)的理解,重新翻译并做了修正,并且加入了个人的注解和插图,力求让读者更容易领会原文的含义。为不影响阅读体验,注解没有单独标出, 可当译文 +“笔记”来阅读。感兴趣的读者可参考文末的原文地址。 虽然仍然处...
智能合约审计之变量覆盖
Fly_鹏程万里
06-29 1325
漏洞简介 在智能合约语言Solidity当,存在Storage(存储器)和Memory(内存)两个不同的概念,Storage变量是指永久存储在区块链的变量,Memory变量是临时的,这些变量在外部调用结束后会被移除 Soliditystruct和数组在局部变量默认是存放在storage的,因此可以利用未定义的存储指针的问题,p会被当成一个指针,并默认指向slot[0]和slot[1],因此在进行p.name和p.mappedAddress赋值的时候,实际上会修改变量testA,testB的值:
智能合约场景下的模糊测试——智能合约基本介绍
DeamLake的博客
09-27 1万+
智能合约场景下的模糊测试前言基本概念智能合约图灵完全智能合约特性运行环境 前言 模糊测试和区块链的相关概念在此不再赘述,网络上有很多成熟的文档可以自行查阅。本人是在模糊测试领域有一年研究基础的CS研究生,应老板项目要求将模糊测试应用于区块链智能合约场景做一些新的尝试。奈何本人在区块链方向也是个小白,所以借此文对智能合约的相关概念作一个大致的了解并在此做一个总结,留作之后回顾。 如果内容有问题欢迎大家留言建议和交流。 基本概念 智能合约 智能合约是一种基于区块链平台运行,为缔约的多方提供安全可信赖能力的去
以太坊智能合约call注入攻击
Exploit的小站~
06-21 2万+
TL;DR这是我在先知安全大会上分享议题的一部分内容。主要介绍了利用对call调用处理不当,配合一定的应用场景的一种攻击手段。0x00 基础知识以太坊合约调用是指的合约调用另外一个合约方法的方式。为了好理解整个调用的过程,我们可以简单将调用发起方合约当做传统web世界的浏览器,被调用的合约看作webserver,而调用的msg则是http数据,EVM底层通过ABI规范来解码参数,获取方法选择...
以太坊智能合约重放攻击细节剖析
HiBlock的博客
09-02 926
1 攻击背景 在资产管理体系,常有委托管理的情况,委托人将资产给受托人管理,委托人支付一定的费用给受托人。这个业务场景在智能合约也比较普遍。 合约设计 function transferProxy(address _from, address _to, uint256 _value, uint256 _fee, uint8 _v, bytes32 _r, bytes32 _...
关于以太坊时间戳
万里长城永不倒的博客
02-10 4755
http://blog.csdn.net/wo541075754/article/details/78220937
《我学区块链》—— 三十、以太坊安全之 时间戳依赖漏洞
xuguangyuansh的博客
10-26 2390
三十、以太坊安全之 时间戳依赖漏洞 时间戳(Timestamps)是由矿工生成。因此,合约不应该让关键操作依赖于区块时间戳,例如把时间戳用作一个生成随机数的种子。Consensys 在他们的指导手册给出了“12分钟规定”,表明如果你依赖时间戳的代码能够处理 12 分钟的误差,那么使用block.timestamp 是安全的。 ...
智能合约安全(一):以太坊机制及安全问题
热门推荐
Exploit的小站~
09-26 3万+
在本系列,我们将对以太坊现有的安全问题和前沿的各类型漏洞挖掘方法进行综述。本文是本系列的第一篇文章,主要介绍以太坊的机制和存在的安全问题的分类。 01 什么是以太坊智能合约以太坊智能合约基于区块链(Blockchain)技术,作为一种旨在以信息化方式传播、验证或执行的计算机协议,为各类分布式应用服务提供了基础。简单来讲:如果把比特币看作是分布式的记账本;以太坊便是可以运行程序的分布式计算平台,程序运行的基础则是Solidity智能合约智能合约早在1995年就由尼克萨博提出,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值