智能合约漏洞——外部合约引用

最新推荐文章于 2023-05-14 21:26:43 发布
最新推荐文章于 2023-05-14 21:26:43 发布
阅读量979 收藏
点赞数
分类专栏: 区块链 文章标签: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/S123456215/article/details/117324221
版权

​在智能合约中保留其他智能合约实例的引用,也就是声明一个其他智能合约类型的变量。

合约示例:

import "SomeEncrypyion.sol";contract EncrypyionContract {    //库智能合约的引用    SomeEncrypyion encrypyionLibrary;        //初始化库智能合约引用的构造函数    constructor (SomeEncrypyion _encrypyionLibrary) {        encrypyionLibrary = _encrypyionLibrary;    }        funcion changeLibrary(SomeEncrypyion _encrypyionLibrary) {        encrypyionLibrary = _encrypyionLibrary;    }    ...}

这是一个看起来很自然的想法,在构造函数中传入所依赖的库智能合约地址,然后保存到智能合约状态变量中,而且还有一个函数可以用来修改这个引用。但存在明显风险和漏洞,

  • 构造函数都传入地址可能非预期;

  • changeLibrary函数为声明可见性是默认public的,谁都可以调用;

  • changeLibrary函数接受的传参可能由某个智能合约的某个函数传入,其地址类型不可控,要   做好相应的错误处理;

正确做法  在明确知道SomeEncrypyion代码情况下,在构造函数中直接 new 一个新智能合约,而不是传入一个智能合约地址。即使库智能合约被毁,它也完全可控,我们可以通过当前的智能合约代码避免人为意外或者误操作。

 

虎皮熊233
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Web3 开发系列教程—创建你的第一个智能合约(7)】智能合约存在的安全挑战
前端进阶之路 | 中大厂、外企、国企内推 | 面试培训 | 简历修改
06-03 883
与更传统的编程语言的大多数案例不同,Solidity 合约倾向于转移大量价值作为其核心功能之一,因此容易受到攻击者的各种高风险攻击,这些攻击者试图从这些不可变的参与者身上榨取资金。因此,强烈建议开发人员在向主网启动智能合约之前进行审计或聘请审计机构。因为一旦发布,就很难追溯修复安全漏洞! 潜在漏洞的类型以及执行这些攻击的方式本身就是一个完整的过程。 下面我会快速概述一下可能存在的主要漏洞,以便你了解需要注意的事项:什么是重入攻击:这种类型的攻击非常危险,可以让易受攻击的智能合约耗尽所有的以太币,并且非常容易
通过合约地址 和 接口 调用另一个合约方法
weixin_41303815的博客
04-17 1013
A 合约: // SPDX-License-Identifier: GPL-3.0 pragma solidity >=0.8.0 <0.9.0; contract Number { uint256 c; function getNumber() public view returns (uint) { return c; } function setNumber(uint num) public { c=num;
Solidity极简入门#21. 调用其他合约
sleep的博客
02-22 1068
调用已部署合约开发者写智能合约来调用其他合约,这让Ethereum网络上的程序可以复用,从而建立繁荣的生态。很多web3项目依赖于调用其他合约,比如收益农场(yield farming)。这一讲,我们介绍如何在已知合约代码(或接口)和地址情况下调用目标合约的函数。目标合约我们先写一个简单的合约OtherContract来调...
合约外部调用】solidity语言是一个合约调用另外一个合约【同一个区块链网络】的方法【使用接口声明关系】
weixin_43343144的博客
04-01 4763
solidity官方时间库:https://github.com/pipermerriam/ethereum-datetime 一个如何调用主网智能合约方法案例!(此案例用Rinkeby测试网络部署) 这里接口的作用:只是用来声明需要调用的方法! 一个如何调用主网智能合约方法案例! pragma solidity >=0.5.0 <0.7.0; interfac...
Solidity合约内创建合约以及引用其他合约的总结
热门推荐
devilyouwei - 黄有为
02-09 1万+
本文总结了在以太坊智能合约中使用Solidity在合约内创建合约以及引用其他合约方法,包括了如何使用mochai进行测试的方法。 在这之前先明白一个比较: Contract{}相当于面向对象语言的类 当部署后获得到address后,address相当于对象,address 0x.......本身就类似指针地址 然后我们讨论下Solidity代码中对合约类,合约对象的操作。 Solidity 首先区分下三种写法: import 'ContractB.sol'; ConractB B = new Con
以太坊智能合约示例与漏洞分析——竞拍合约
01-08
智能合约定义成员变量、event等,构造函数初始化受益人、拍卖结束时间,如下所示: 出价的函数如下,标注payable说明函数可以接收转账,require(now <= auctionEnd)检查拍卖是否结束,如果已经结束就抛出异常,...
区块链技术与应用——智能合约.pdf
06-07
区块链技术与应用——智能合约.pdf
智能合约开发-食品溯源合约
最新发布
10-17
食品溯源合约是一种基于区块链技术的智能合约,旨在提供食品产地信息和供应链透明度。该合约可以确保食品安全、减少食品欺诈以及追踪食品来源。 该合约的实现方式是通过在区块链上记录食品相关数据并将其存储在不可...
智能合约】编写复杂业务场景下的智能合约——可升级的智能合约设计模式(附Demo)
01-20
这种方式保留了旧合约的数据,并且可以在发现漏洞时迅速停止旧合约,启动修复后的版本。 在实现复杂业务场景时,智能合约的设计需要更精细的分割。可以采用类似于MVC(模型-视图-控制器)的设计模式,将合约分为...
以太坊智能合约 —— 最佳安全开发指南.pdf
08-29
为了使语句表达更加贴切,个别地方未按照原文逐字逐句...这篇文档旨在为Solidity开发人员提供一些智能合约的安全准则(security baseline)。当然也包括智能合约的安全开发理念、bug赏金计划指南、文档例程以及工具。
solidity之合约内部创建和外部创建的区别!
weixin_43343144的博客
04-03 1177
如何外部创建调用并合约参考:https://blog.csdn.net/weixin_43343144/article/details/88951698 合约内部创建【在合约内部使用new关键词创建对象】 // 内部创建token合约对象,那么token合约实例的发送者就是Collection合约 contract Collection { // token是public,外部...
Solidity智能合约开发 — 3.5-库合约
qincheng168的博客
12-06 564
库函数是一种特殊的合约
恶意代码分析实战 --- 第十二章 隐藏的恶意代码启动
abelxu
06-09 637
一、常用的隐藏技术 启动器 进程注入 进程替换 Hook注入 Detours APC注入 二、Lab12-1 1.行为分析 执行之后的效果是每隔一段时间会弹窗。 查看process momitor。可以发现psapi.dll被createFileMapping进内存,可能是修改了CreateFileMapping. 2.Lab12-1.exe 主要流程分析 1.初始化:通过LoadLibrary和GetProcAddress来获得EnumProcessModules、GetModuleBaseNam
C#入门8.6——外部方法
乔培宸的博客
08-16 1514
方法声明包含extern修饰符时,称该方法外部方法外部方法是在外部实现的,编程语言通常是使用C#以外的语言。外部方法不可以是泛型。 extern修饰符通常与DllImport属性一起使用,从而使外部方法可以由DLL(动态链接阵)实现。执行环境可以支持其他用来提供外部方法实现的机制。当外部方法包含DllImport属性时,该方法声明必须同时包含一个static修饰符。 using Syst
恶意代码分析实战 9 隐蔽的恶意代码启动
农夫果园好好喝的博客
01-24 1617
查看程序的导入函数。通过这几个函数,可以推断出是远程线程注入。使用ProMon检测,并没有看到什么有用的信息。使用Proexproer检查。也没有什么有用的信息。拖入IDA中分析一下。将这几个字符串重命名,便于识别。该程序是一个对于PID的遍历。这个函数的作用是检查是否存在explorer.exe这个程序。Buffer表示的字符串是Lab12-01.dll.这段代码所表示的就是对explorer.exe程序进行注入。
外部方法调用内部_私有属性和私有方法
weixin_35829279的博客
12-20 295
私有属性和私有方法01. 应用场景及定义方式应用场景在实际开发中,对象 的 某些属性或方法 可能只希望 在对象的内部被使用,而 不希望在外部被访问到私有属性 就是 对象 不希望公开的 属性私有方法 就是 对象 不希望公开的 方法定义方式在 定义属性或方法时,在 属性名或者方法名前 增加 两个下划线,定义的就是 私有 属性或方法class Women: ​ def __init__(self...
区块链联盟链PlatONE Wasm合约开发深入详解
WXblockchain1的博客
01-21 893
联盟链PlatONE支持WASM虚拟机。本文通过一系列代码示例讲解合约的各个功能,用户可以通过学习这些例子来深入理解如何编写一个应用合约。PlatONE代码获取 Contract类 Contract类是有bcwasm库提供的合约基类,用户开发的合约必须派生于该类。Contract类中定义了一个init()虚函数,用户合约需要实现该init()函数,该函数在合约首次发布时执行,仅调用一次,该方法作用类似于solidity合约中的构造函数。 注意: init()方法必须实现为public类型,这样合约在部
竞态条件
Fly_鹏程万里
12-17 393
竞态条件引发​ 以太坊智能合约的特点之一是能够调用和利用其他外部合约的代码,调用外部合约主要存在的危险就是外部合约可以接管控制流,并对调用函数不期望的数据进行更改。这类漏洞有多种形式,包括重入和交易顺序依赖等。 重入漏洞(Reentrancy) 问题描述 ​ 合约通常也处理 Ether,因此通常会将 Ether发送给各种外部用户地址。调用外部合约或将以太网发送到地址的操作需要合约提交外部调用...
Solidity中如何与外部合约交互
tyxjolin的专栏
05-14 1389
本文介绍了与外部合约交互的基本概念,并提供了一个示例来说明如何在Solidity中实现与外部合约的交互。在Solidity中,与外部合约的交互非常重要,因为许多智能合约需要与其他合约进行通信。然后,我们使用目标合约地址和payload调用合约A的函数,通过调用外部合约的call函数来实现。这些函数可以是在Solidity合约中定义的函数,也可以是在外部合约中定义的函数。调用外部合约函数需要知道合约的地址和函数的签名。水平攻击是指目标合约可以调用合约中的其他函数,包括可能修改合约状态的函数。
智能合约漏洞检测工具分析和比较
05-15
智能合约漏洞检测工具是用于检测智能合约中潜在漏洞的软件工具。目前市场上有多种智能合约漏洞检测工具,包括但不限于:Mythril、SmartCheck、Securify、Oyente、Solhint、Slither等。下面对这些工具进行简要分析和比较: 1. Mythril:一种基于Python的智能合约漏洞检测工具,可以自动检测以太坊智能合约中的漏洞。Mythril使用静态分析技术来检测合约中的漏洞,并支持多种漏洞类型的检测。 2. SmartCheck:一种基于Solidity的智能合约漏洞检测工具,使用了一种基于符号执行的技术来检测合约中的漏洞。SmartCheck还支持自定义规则和插件。 3. Securify:一种基于静态分析的智能合约漏洞检测工具,支持检测多种漏洞类型。Securify使用了一种基于抽象解释的方法来检测合约中的漏洞。 4. Oyente:一种基于Python的智能合约漏洞检测工具,使用了一种基于符号执行的技术来检测合约中的漏洞。Oyente支持多种漏洞类型的检测,并提供了一种基于可视化的方式来展示检测结果。 5. Solhint:一种用于Solidity代码规范检查的工具,可以检查合约中的代码是否符合Solidity代码规范。Solhint支持多种代码规范,并可以自定义规范。 6. Slither:一种基于静态分析的智能合约漏洞检测工具,支持多种漏洞类型的检测。Slither使用了一种基于数据流分析的方法来检测合约中的漏洞。 综上所述,不同的智能合约漏洞检测工具使用了不同的技术和方法来检测合约中的漏洞,每种工具都有其独特的优势和劣势。在选择合适的工具时,需要根据具体的需求和场景进行选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值