智能合约漏洞——delegatecall漏洞

最新推荐文章于 2024-03-05 14:04:14 发布
VIP文章 最新推荐文章于 2024-03-05 14:04:14 发布
阅读量5.3k 收藏 8
点赞数 2
分类专栏: 区块链 文章标签: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/S123456215/article/details/117324154
版权

delegatecall与call操作产生的普通智能合约函数调用的最大区别就在于"执行环境不会切换":也就是账户状态、储存状态都保留当前的调用者智能合约对应的状态,并且msg.sender和msg.value也不会改变;仅仅是把目标地址上的代码,拿到智能合约的当前执行环境中来执行。

但是如果是调用的"有状态"的库智能合约是会影响当前智能合约的状态。

FibonacciLib合约示例:

contract FibonacciLib{
      //数列开始的数字    uint public start;    uint public calculatedFibNumber;    //修改数列开始的数字    function setStart(uint _start) public {
          start = _start;    }        function setFibonacci(uint n) public {
          calculatedFibNumber = fibonacci(n);    }        function fibonacci(uint n) internal returns (uint) {
          if (n == 0) return start;        else if (n == 1) return start + 1;        else return fibonacci(n - 1) + f
最低0.47元/天 解锁文章
虎皮熊233
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
智能合约安全——delegatecall (2)
FingerNFT的博客
08-03 2488
可以看到 Lib.doSomething() 函数将合约中存储位置为 slot0 的参数改为传入的值,这样当 HackMe 合约使用 delegatecall 调用 Lib.doSomething() 函数时也将改变自己在 slot0 位置存储的变量的值,也就是将 lib 参数(这里存储的是 Lib 合约的地址)改为我们传入的 Attack 合约的地址。此时之前在 HackMe.lib 参数中存储的 Lib 合约的地址就被修改成我们传入的 Attack 合约的地址了;社区,一起交流学习~...
以太坊智能合约示例与漏洞分析——竞拍合约
01-08
智能合约定义成员变量、event等,构造函数初始化受益人、拍卖结束时间,如下所示: 出价的函数如下,标注payable说明函数可以接收转账,require(now <= auctionEnd)检查拍卖是否结束,如果已经结束就抛出异常,...
智能合约的常见漏洞
weixin_33862188的博客
09-25 2499
目录: 1. 重入(Reentrancy) [1, 2, 3] 2. Call to the unknown [1] 3. Gasless send [1, 3] 4. Exception disorder/Mishandled Exceptions [1, 2, 3] 5. Type casts [1] 6. Keeping secrets [1] 7. Ether lost in trans...
可升级合约的原理-DelegateCall
Lyon_Nee的博客
06-30 1003
在介绍时,我们需要带上方法一起介绍,并做对比。 先说概念吧! DelegateCall:有一种特殊类型的消息调用,被称为 。它和一般的消息调用()的区别在于,目标地址的代码将在发起调用的合约的上下文中执行,并且 和 不变。 这意味着一个合约可以在运行时从另外一个地址动态加载代码。我不喜欢一上来就讲概念,毕竟太难理解。还是上代码演示吧Remix IDE:Remix是基于浏览器的 IDE,集成了编译器和 Solidity 运行时环境,不需要服务端组件,支持网页在线编写、部署和测试智能合约。本章主要是让大家快
【论文阅读】关于智能合约漏洞检测
最新发布
RuRu_Bai的博客
03-05 1388
两篇论文,都是关于智能合约漏洞检测的综述文章[1]崔展齐,杨慧文,陈翔等.智能合约安全漏洞检测研究进展[J/OL].软件学报:1-33[2024-03-05].https://doi.org/10.13328/j.cnki.jos.007046.[2]王丹,黄松,王兴亚.以太坊智能合约测试研究综述[J].信息技术与信息化,2023(10):52-58.两篇文章中主要内容都是总结了13种常见的漏洞类型并进行简单介绍、几类测试方法以及未来的工作和展望。
Solidity的三种合约间的调用方式 call、delegatecall 和 callcode
q_776355102的博客
01-15 1762
最近开始学习以太坊智能合约编程,其中涉及到智能合约之间的函数调用。 Solidity的三种合约间的调用方式有call、delegatecall 和 callcode这3种方式。参考了下面的文章: https://www.cnblogs.com/x-poior/p/10511552.html 对于文章中提到的三种调用方式的异同点 call: 最常用的调用方式,调用后内置变量 msg 的值会修改为调用者,执行环境为被调用者的运行环境(合约的 storage)。 delegatecall: 调用后内置变量 ms
区块链论文7(oyente智能合约漏洞检测工具)
XingFuXiaoAi520的博客
06-12 7291
Making Smart Contracts Smarter 文章路径 Abstract: Cryptocurrencies record transactions in a decentralized data structure called a blockchain. Two of the most popular cryptocurrencies, Bitcoin and Ethereum, support the feature to encode rules or scripts for
solidity call和delegatecall的那些事儿
haifeng_zhang_it的博客
12-28 1330
delegatecall的漏洞与solidity的两个特性有关。为了写出更安全的合约,solidity提供了Library关键字,被Library字义的合约必须是无状态的(合约内不能存在状态变量)。这就规避了在外部合约中修改状态变量的操作。在我们实践过程中我们写共用功能合约时尽量定义为Library。call和delegatcall之间的区别很微妙,为了有效和安全地使用它们,理解它们是很重要的。
Solidity—— call、staticcall和delegatecall用法介绍
tomggo的博客
01-30 1511
在一个智能合约中调用另外一个外部智能合约的函数,我们可以通过接口interface的方式进行调用。另外,还有一种比较底层的调用方法,就是使用call、staticcall和delegatecall函数。它们是一种低级、底层的调用方式,具有更大的灵活性。我们将分别进行讲解。
Solidity之DelegateCall委托调用详解
CamphorBlossom的博客
11-25 5201
前言 在编写以太坊智能合约代码时,有些情况下(功能的解耦,分区明确)我们需要与其他合约进行交互。如果只是为了代码复用,可把公共代码单独抽离出来,部署到一个library中(类似util工具包),后面就可以直接引入使用了。但是library中不允许定义任何storage类型的变量,这就意味着library不能修改合约的状态。如果需要修改合约状态变量,我们就需要另外部署一个新合约,具体怎么操作呢? 贴个官方文档说明: There exists a special variant of a message
Solidity智能合约安全指南:预防已知攻击的关键.
博客致力于促进知识的共享,并且希望能将志同道合的人建立一起,拓宽视野,深化思考,获得新的启发.
07-08 2973
在进行Solidity智能合约开发时,确保合约的安全性是至关重要的。虽然编写一个简单的合约可能相对容易,但要确保它能够抵御各种已知和未知的攻击却是一项艰巨的任务。为了有效预防攻击,首先我们需要了解已知的一些常见攻击类型,只有了解清楚这些攻击,才能更好地保护合约的安全性本文将为您汇总一些Solidity中已知的攻击类型,并提供一些预防这些攻击的关键措施(以下就是个人整理的一些已知攻击)重入算术溢出意外之财默认的可见性随机错觉外部智能合约引用短地址/参数攻击未检查的返回值竞争条件/预先交易。
智能合约漏洞——uint 算术溢出
S123456215的博客
05-27 735
​算术溢出:指对应无符号整数类型的变量,如果某个算术计算结果超出其所能表达的数值范围,就会发生上溢和下溢的现象。 示例上溢 (uint8 A1, uint A2) = (255, 255);A1 = A1 + 1;A2 = A2 + 128; 得到结果为A1将为0,A2将为127。 A1计算过程1111 1111 + 0000 0001 = 1 0000 0000,因为uint8 只保留8位进制,“1” 就被舍弃,结果为0000 0000,即0. A2计算过程1111 1111 + 1000 0
深入理解智能合约漏洞.pdf
09-11
深入理解智能合约漏洞 红蓝对抗 安全对抗 应用安全 数据安全与治理 工控安全
区块链技术与应用——智能合约.pdf
06-07
区块链技术与应用——智能合约.pdf
智能合约】编写复杂业务场景下的智能合约——可升级的智能合约设计模式(附Demo)
01-20
可升级的以太坊智能合约设计模式 目录 可升级的以太坊智能合约设计模式 智能合约的现状 智能合约的局限 智能合约目前的发展方向 如何利用智能合约实现复杂的业务场景 智能合约设计模式的技术点 智能合约设计模式 ...
区块链智能合约安全开发.pdf
08-08
智能合约安全开发 相关概念 安全事件 审计之路 常见漏洞 常用工具
Solidity 安全:已知攻击方法和常见防御模式综合列表
weixin_34332905的博客
08-09 246
虽然处于起步阶段,但是 Solidity 已被广泛采用,并被用于编译我们今天看到的许多以太坊智能合约中的字节码。相应地,开发者和用户也获得许多严酷的教训,例如发现语言和EVM的细微差别。这篇文章旨在作为一个相对深入和最新的介绍性文章,详述 Solidity 开发人员曾经踩过的坑,避免后续开发者重蹈覆辙。 1 重入漏洞 以太坊智能合约的特点之一是能够调用和利用其他外部合约的代码。合约通常也处理 E...
【论文阅读】 智能合约安全漏洞检测技术研究综述
weixin_46031140的博客
09-13 967
Solidity 智能合约函数和变量的访问限制有 4 种, 即 public, private, external, internal.如果函数未使用这些标识符, 那么默认情况下, 智能合约函数的访问权限为 public, 亦即该函数允许被本合约或其他合约的任何函数调用, 这种情况可能导致该函数被攻击者恶意调用;当一个智能合约调用另一个合约中的函数时, 若函数和参数类型无法匹配到被调用合约中的函数, 此时将会默认调用该合约中的Fallback函数. 攻击者可以Fallback函数中隐藏恶意操作。
Solidity极简入门#23.代理合约Delegatecall
sleep的博客
02-25 659
与上面的callSetVars函数相同,有两个参数_addr和_num,分别对应合约C的地址和setVars的参数。而当用户A通过合约B来delegatecall合约C的时候,执行的是合约C的函数,但是语境仍是合约B的:msg.sender是A的地址,并且如果函数改变一些状态变量,产生的效果会作用于合约B的变量上。执行的是VC的函数,但是改变的是富商的状态。当用户A通过合约B来call合约C的时候,执行的是合约C的函数,语境(Context,可以理解为包含变量和状态的环境)也是合约C的:​。
智能合约漏洞类型介绍以及实例
05-15
智能合约漏洞是指在智能合约的设计或者实现中存在的安全问题,可能导致恶意用户利用漏洞攻击智能合约,从而获得非法利益。常见的智能合约漏洞类型包括以下几种: 1. 逻辑漏洞:指智能合约的设计或者实现存在缺陷,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值