智能合约漏洞——外部合约引用

最新推荐文章于 2023-05-14 21:26:43 发布
最新推荐文章于 2023-05-14 21:26:43 发布
阅读量979 收藏
点赞数
分类专栏: 区块链 文章标签: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/S123456215/article/details/117324221
版权

​在智能合约中保留其他智能合约实例的引用,也就是声明一个其他智能合约类型的变量。

合约示例:

import "SomeEncrypyion.sol";contract EncrypyionContract {    //库智能合约的引用    SomeEncrypyion encrypyionLibrary;        //初始化库智能合约引用的构造函数    constructor (SomeEncrypyion _encrypyionLibrary) {        encrypyionLibrary = _encrypyionLibrary;    }        funcion changeLibrary(SomeEncrypyion _encrypyionLibrary) {        encrypyionLibrary = _encrypyionLibrary;    }    ...}

这是一个看起来很自然的想法,在构造函数中传入所依赖的库智能合约地址,然后保存到智能合约状态变量中,而且还有一个函数可以用来修改这个引用。但存在明显风险和漏洞,

  • 构造函数都传入地址可能非预期;

  • changeLibrary函数为声明可见性是默认public的,谁都可以调用;

  • changeLibrary函数接受的传参可能由某个智能合约的某个函数传入,其地址类型不可控,要   做好相应的错误处理;

正确做法  在明确知道SomeEncrypyion代码情况下,在构造函数中直接 new 一个新智能合约,而不是传入一个智能合约地址。即使库智能合约被毁,它也完全可控,我们可以通过当前的智能合约代码避免人为意外或者误操作。

 

虎皮熊233
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Web3 开发系列教程—创建你的第一个智能合约(7)】智能合约存在的安全挑战
前端进阶之路 | 中大厂、外企、国企内推 | 面试培训 | 简历修改
06-03 883
与更传统的编程语言的大多数案例不同,Solidity 合约倾向于转移大量价值作为其核心功能之一,因此容易受到攻击者的各种高风险攻击,这些攻击者试图从这些不可变的参与者身上榨取资金。因此,强烈建议开发人员在向主网启动智能合约之前进行审计或聘请审计机构。因为一旦发布,就很难追溯修复安全漏洞! 潜在漏洞的类型以及执行这些攻击的方式本身就是一个完整的过程。 下面我会快速概述一下可能存在的主要漏洞,以便你了解需要注意的事项:什么是重入攻击:这种类型的攻击非常危险,可以让易受攻击的智能合约耗尽所有的以太币,并且非常容易
区块链联盟链PlatONE Wasm合约开发深入详解
WXblockchain1的博客
01-21 893
联盟链PlatONE支持WASM虚拟机。本文通过一系列代码示例讲解合约的各个功能,用户可以通过学习这些例子来深入理解如何编写一个应用合约。PlatONE代码获取 Contract类 Contract类是有bcwasm库提供的合约基类,用户开发的合约必须派生于该类。Contract类中定义了一个init()虚函数,用户合约需要实现该init()函数,该函数在合约首次发布时执行,仅调用一次,该方法作用类似于solidity合约中的构造函数。 注意: init()方法必须实现为public类型,这样合约在部
solidity之合约内部创建和外部创建的区别!
weixin_43343144的博客
04-03 1177
如何外部创建调用并合约参考:https://blog.csdn.net/weixin_43343144/article/details/88951698 合约内部创建【在合约内部使用new关键词创建对象】 // 内部创建token合约对象,那么token合约实例的发送者就是Collection合约 contract Collection { // token是public,外部...
外部方法调用内部_私有属性和私有方法
weixin_35829279的博客
12-20 295
私有属性和私有方法01. 应用场景及定义方式应用场景在实际开发中,对象 的 某些属性或方法 可能只希望 在对象的内部被使用,而 不希望在外部被访问到私有属性 就是 对象 不希望公开的 属性私有方法 就是 对象 不希望公开的 方法定义方式在 定义属性或方法时,在 属性名或者方法名前 增加 两个下划线,定义的就是 私有 属性或方法class Women: ​ def __init__(self...
竞态条件
Fly_鹏程万里
12-17 393
竞态条件引发​ 以太坊智能合约的特点之一是能够调用和利用其他外部合约的代码,调用外部合约主要存在的危险就是外部合约可以接管控制流,并对调用函数不期望的数据进行更改。这类漏洞有多种形式,包括重入和交易顺序依赖等。 重入漏洞(Reentrancy) 问题描述 ​ 合约通常也处理 Ether,因此通常会将 Ether发送给各种外部用户地址。调用外部合约或将以太网发送到地址的操作需要合约提交外部调用...
以太坊智能合约示例与漏洞分析——竞拍合约
01-08
智能合约定义成员变量、event等,构造函数初始化受益人、拍卖结束时间,如下所示: 出价的函数如下,标注payable说明函数可以接收转账,require(now <= auctionEnd)检查拍卖是否结束,如果已经结束就抛出异常,...
区块链技术与应用——智能合约.pdf
06-07
区块链技术与应用——智能合约.pdf
智能合约开发-食品溯源合约
最新发布
10-17
食品溯源合约是一种基于区块链技术的智能合约,旨在提供食品产地信息和供应链透明度。该合约可以确保食品安全、减少食品欺诈以及追踪食品来源。 该合约的实现方式是通过在区块链上记录食品相关数据并将其存储在不可...
智能合约】编写复杂业务场景下的智能合约——可升级的智能合约设计模式(附Demo)
01-20
这种方式保留了旧合约的数据,并且可以在发现漏洞时迅速停止旧合约,启动修复后的版本。 在实现复杂业务场景时,智能合约的设计需要更精细的分割。可以采用类似于MVC(模型-视图-控制器)的设计模式,将合约分为...
以太坊智能合约 —— 最佳安全开发指南.pdf
08-29
为了使语句表达更加贴切,个别地方未按照原文逐字逐句...这篇文档旨在为Solidity开发人员提供一些智能合约的安全准则(security baseline)。当然也包括智能合约的安全开发理念、bug赏金计划指南、文档例程以及工具。
恶意代码分析实战 9 隐蔽的恶意代码启动
农夫果园好好喝的博客
01-24 1617
查看程序的导入函数。通过这几个函数,可以推断出是远程线程注入。使用ProMon检测,并没有看到什么有用的信息。使用Proexproer检查。也没有什么有用的信息。拖入IDA中分析一下。将这几个字符串重命名,便于识别。该程序是一个对于PID的遍历。这个函数的作用是检查是否存在explorer.exe这个程序。Buffer表示的字符串是Lab12-01.dll.这段代码所表示的就是对explorer.exe程序进行注入。
恶意代码分析实战 --- 第十二章 隐藏的恶意代码启动
abelxu
06-09 637
一、常用的隐藏技术 启动器 进程注入 进程替换 Hook注入 Detours APC注入 二、Lab12-1 1.行为分析 执行之后的效果是每隔一段时间会弹窗。 查看process momitor。可以发现psapi.dll被createFileMapping进内存,可能是修改了CreateFileMapping. 2.Lab12-1.exe 主要流程分析 1.初始化:通过LoadLibrary和GetProcAddress来获得EnumProcessModules、GetModuleBaseNam
Solidity中如何与外部合约交互
tyxjolin的专栏
05-14 1389
本文介绍了与外部合约交互的基本概念,并提供了一个示例来说明如何在Solidity中实现与外部合约的交互。在Solidity中,与外部合约的交互非常重要,因为许多智能合约需要与其他合约进行通信。然后,我们使用目标合约地址和payload调用合约A的函数,通过调用外部合约的call函数来实现。这些函数可以是在Solidity合约中定义的函数,也可以是在外部合约中定义的函数。调用外部合约函数需要知道合约的地址和函数的签名。水平攻击是指目标合约可以调用合约中的其他函数,包括可能修改合约状态的函数。
合约外部调用】solidity语言是一个合约调用另外一个合约【同一个区块链网络】的方法【使用接口声明关系】
weixin_43343144的博客
04-01 4763
solidity官方时间库:https://github.com/pipermerriam/ethereum-datetime 一个如何调用主网智能合约的方法案例!(此案例用Rinkeby测试网络部署) 这里接口的作用:只是用来声明需要调用的方法! 一个如何调用主网智能合约的方法案例! pragma solidity >=0.5.0 <0.7.0; interfac...
深入了解以太坊虚拟机第4部分——ABI编码外部方法调用的方式
omnispace的博客
03-25 2223
本文由币乎社区(bihu.com)内容支持计划赞助。在本系列的上一篇文章中我们看到了Solidity是如何在EVM存储器中表示复杂数据结构的。但是如果无法交互,数据就是没有意义的。智能合约就是数据和外界的中间体。在这篇文章中我们将会看到Solidity和EVM可以让外部程序来调用合约的方法并改变它的状态。“外部程序”不限于DApp/JavaScript。任何可以使用HTTP RPC与以太坊节点通信...
C#入门8.6——外部方法
乔培宸的博客
08-16 1514
当方法声明包含extern修饰符时,称该方法为外部方法。外部方法是在外部实现的,编程语言通常是使用C#以外的语言。外部方法不可以是泛型。 extern修饰符通常与DllImport属性一起使用,从而使外部方法可以由DLL(动态链接阵)实现。执行环境可以支持其他用来提供外部方法实现的机制。当外部方法包含DllImport属性时,该方法声明必须同时包含一个static修饰符。 using Syst
智能合约安全(一):以太坊机制及安全问题
热门推荐
Exploit的小站~
09-26 3万+
在本系列中,我们将对以太坊现有的安全问题和前沿的各类型漏洞挖掘方法进行综述。本文是本系列的第一篇文章,主要介绍以太坊的机制和存在的安全问题的分类。 01 什么是以太坊智能合约? 以太坊智能合约基于区块链(Blockchain)技术,作为一种旨在以信息化方式传播、验证或执行的计算机协议,为各类分布式应用服务提供了基础。简单来讲:如果把比特币看作是分布式的记账本;以太坊便是可以运行程序的分布式计算平台,程序运行的基础则是Solidity智能合约智能合约早在1995年就由尼克萨博提出,
【solidity三】Solidity中继承、创建合约外部调用、合约事件event、solidity中元祖的使用、new、delete关键字的使用、solisity创建合约外部调用
qq_40585384的博客
05-19 2105
编译器为自动为所有的`public的状态变量`创建访问函数。下面的合约例子中,编译器会生成一个名叫data的无参,返回值是uint的类型的值data。状态变量的初始化可以在定义时完成。
智能合约漏洞检测工具分析和比较
05-15
智能合约漏洞检测工具是用于检测智能合约中潜在漏洞的软件工具。目前市场上有多种智能合约漏洞检测工具,包括但不限于:Mythril、SmartCheck、Securify、Oyente、Solhint、Slither等。下面对这些工具进行简要分析和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值