智能合约漏洞——外部合约引用

​在智能合约中保留其他智能合约实例的引用,也就是声明一个其他智能合约类型的变量。

合约示例:

import "SomeEncrypyion.sol";contract EncrypyionContract {    //库智能合约的引用    SomeEncrypyion encrypyionLibrary;        //初始化库智能合约引用的构造函数    constructor (SomeEncrypyion _encrypyionLibrary) {        encrypyionLibrary = _encrypyionLibrary;    }        funcion changeLibrary(SomeEncrypyion _encrypyionLibrary) {        encrypyionLibrary = _encrypyionLibrary;    }    ...}

这是一个看起来很自然的想法,在构造函数中传入所依赖的库智能合约地址,然后保存到智能合约状态变量中,而且还有一个函数可以用来修改这个引用。但存在明显风险和漏洞,

  • 构造函数都传入地址可能非预期;

  • changeLibrary函数为声明可见性是默认public的,谁都可以调用;

  • changeLibrary函数接受的传参可能由某个智能合约的某个函数传入,其地址类型不可控,要   做好相应的错误处理;

正确做法  在明确知道SomeEncrypyion代码情况下,在构造函数中直接 new 一个新智能合约,而不是传入一个智能合约地址。即使库智能合约被毁,它也完全可控,我们可以通过当前的智能合约代码避免人为意外或者误操作。

 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
智能合约漏洞检测工具是用于检测智能合约中潜在漏洞的软件工具。目前市场上有多种智能合约漏洞检测工具,包括但不限于:Mythril、SmartCheck、Securify、Oyente、Solhint、Slither等。下面对这些工具进行简要分析和比较: 1. Mythril:一种基于Python的智能合约漏洞检测工具,可以自动检测以太坊智能合约中的漏洞。Mythril使用静态分析技术来检测合约中的漏洞,并支持多种漏洞类型的检测。 2. SmartCheck:一种基于Solidity的智能合约漏洞检测工具,使用了一种基于符号执行的技术来检测合约中的漏洞。SmartCheck还支持自定义规则和插件。 3. Securify:一种基于静态分析的智能合约漏洞检测工具,支持检测多种漏洞类型。Securify使用了一种基于抽象解释的方法来检测合约中的漏洞。 4. Oyente:一种基于Python的智能合约漏洞检测工具,使用了一种基于符号执行的技术来检测合约中的漏洞。Oyente支持多种漏洞类型的检测,并提供了一种基于可视化的方式来展示检测结果。 5. Solhint:一种用于Solidity代码规范检查的工具,可以检查合约中的代码是否符合Solidity代码规范。Solhint支持多种代码规范,并可以自定义规范。 6. Slither:一种基于静态分析的智能合约漏洞检测工具,支持多种漏洞类型的检测。Slither使用了一种基于数据流分析的方法来检测合约中的漏洞。 综上所述,不同的智能合约漏洞检测工具使用了不同的技术和方法来检测合约中的漏洞,每种工具都有其独特的优势和劣势。在选择合适的工具时,需要根据具体的需求和场景进行选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值