智能合约漏洞——短地址攻击

最新推荐文章于 2023-07-08 11:49:18 发布
最新推荐文章于 2023-07-08 11:49:18 发布
阅读量2.4k 收藏 4
点赞数 4
分类专栏: 区块链 文章标签: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/S123456215/article/details/117324260
版权

 基础知识

严格意义来说,短地址/参数攻击并不算智能合约的漏洞,这是一个应用上的接口数据处理问题。在介绍过得ERC20模板智能合约,其中有个transfer函数,其定义如下;

function transfer(address _to, uint256 _value) returns (bool success)

实际进行调用的时候,客户端(DApp)需要发起一个交易,交易中附带对于这个智能合约函数的调用,也就是交易的data字段,它是一个字节数组。其中前4个字节是函数选择器,其后应该是这两个参数的ABI编码的数值。假设有这样一个转账,转账地址为0xdededededededededededededededededededede,转账金额为100(智能合约中指定decimals为18),则这个调用交易的字段data字段的值如下图说所示:

a905 9cbb 0000 0000 0000 0000 0000 0000 dede dede dede dede dede dede dede dede dede dede 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 56bc 75e2 d631 0000

4 字节,是方法名的哈希:

a905 9cbb

32字节,放以太坊地址,目前以太坊地址是20个字节,高危补0

0000 0000 0000 0000 0000 0000 dede dede dede dede dede dede dede dede dede dede

32字节,是需要传输的代币数量,这里是1*10^18 GNT

0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 00

最低0.47元/天 解锁文章
虎皮熊233
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
以太坊Solidity智能合约安全之地址或参数攻击漏洞的原理及预防
StevenX5
05-19 1639
这个漏洞发生在第三方合约或应用程序调用智能合约时。当将参数传递给智能合约时,参数将根据 ABI 规范进行编码。第三方合约可以发送比预期参数长度的编码参数。在这种情况下,EVM 将在编码参数的末尾填充 0,以弥补预期的长度。这样,当智能合约不验证输入时,这就会成为一个问题。最明显的例子是,当用户请求提款时,交易所不验证 ERC20 令牌的地址。本文介绍了以太坊Solidity智能合约地址/参数攻击漏洞原理、攻击方法和预防措施。
solidity 安全 合约的地址攻击——这个锅谁来背
The future is already here it's just not evenly distributed。
09-25 1907
前一段时间,有个用户用说发交易的时候提示地址错误,后来发现发送的地址少了一字节;所以钱包检测发送地址时,会提示错误。当时也没当回事,以为是用户自己搞错了。最近研究solidity的时候,才明白了当时是怎么回事,原来这个用户遇到了地址攻击。今天就来分析一下地址攻击,玩ERC20的“韭菜们”都需要注意一下,否则你会发现,你的token被自己莫奇妙的都送给别人了,到时候可没地方说理去。 ...
Solidity智能合约安全指南:预防已知攻击的关键.
最新发布
博客致力于促进知识的共享,并且希望能将志同道合的人建立一起,拓宽视野,深化思考,获得新的启发.
07-08 3125
在进行Solidity智能合约开发时,确保合约的安全性是至关重要的。虽然编写一个简单的合约可能相对容易,但要确保它能够抵御各种已知和未知的攻击却是一项艰巨的任务。为了有效预防攻击,首先我们需要了解已知的一些常见攻击类型,只有了解清楚这些攻击,才能更好地保护合约的安全性本文将为您汇总一些Solidity中已知的攻击类型,并提供一些预防这些攻击的关键措施(以下就是个人整理的一些已知攻击)重入算术溢出意外之财默认的可见性随机错觉外部智能合约引用地址/参数攻击未检查的返回值竞争条件/预先交易。
智能合约地址攻击
u010304442的博客
04-08 875
在了解以太坊智能合约地址攻击之前,先要简单了解一下以太坊代币ERC-20 TOKEN 的一些基础知识。ERC(EthereumRequest for Comment)即以太坊通用征求意见协议,开发者可以通过提交EIP(Ethereum Improvement Proposal以太坊改进建议),向以太坊社区提交新的ERC标准提案。ERC-20是整个加密社区中的所有标准中名气最大的,而且大多数基于以...
以太坊中的地址攻击
weixin_43977647的博客
05-16 905
1.什么叫地址 按照字面的意思就是说这个地址比别人的要些,那么我们都知道在以太坊中正常的化地址就是0x1234567890123456789012345678901234567800这样的,数数,它有20个字节(这个地址的表示方法是用16进制的数去表示的,所以就会有40位)。 那么我们一看这个地址后面两位也就是一个字节都是0呀,那么我们其实可以不用写最后的两位,因为以太坊机制中存在自动补0的情况,一听多么人性的操作,多么体贴就像是暖男一样,思你之所思,急你之所急,啊多么好的设计,我们就把这种地址最后两位
以太坊智能合约示例与漏洞分析——竞拍合约
01-08
智能合约定义成员变量、event等,构造函数初始化受益人、拍卖结束时间,如下所示: 出价的函数如下,标注payable说明函数可以接收转账,require(now <= auctionEnd)检查拍卖是否结束,如果已经结束就抛出异常,...
图形神经网络与专家知识相结合的智能合约漏洞检测_Combining Graph Neural Networks with Exp
01-24
智能合约漏洞检测是近年来区块链领域中的重要议题,由于黑客攻击导致的重大经济损失,使得这一问题备受关注。当前,智能合约的安全分析方法主要依赖于专家制定的硬性规则,这些规则的制定过程耗时且不易扩展。此外,...
「风险评估」Dexcalibur - automate your android app reverse - 区块链.zip
12-05
Dexcalibur可以帮助安全人员对这些应用进行深度审查,确保智能合约的正确性和防止潜在的攻击,如重放攻击、双花攻击或未授权的转账。 在网站安全方面,Dexcalibur可以用于检查Android应用是否安全地处理网络通信,...
Python库 | manticore-0.3.7.dev220208.tar.gz
03-06
《Python库Manticore详解——探索智能合约与模糊测试的利器》 在Python的世界里,Manticore是一款强大的智能合约分析工具,它以其强大的模糊测试功能而受到开发者的青睐。这个名为“manticore-0.3.7.dev220208.tar....
Python库 | manticore-0.3.5.dev210419.tar.gz
03-06
《Python库Manticore详解——探索智能合约与二进制分析》 在IT行业中,Python是一种广泛使用的开发语言,尤其在后端开发、数据分析、自动化测试等领域占据着重要地位。而Manticore则是Python世界中一个强大的库,...
区块链安全 - 以太坊地址攻击
热门推荐
Exploit的小站~
03-07 2万+
0x00 基础知识EVM虚拟机在解析合约的字节码时,依赖的是ABI的定义,从而去识别各个字段位于字节码的什么地方。关于ABI,可以阅读这个文档:https://github.com/ethereum/wiki/wiki/Ethereum-Contract-ABI一般ERC-20 TOKEN标准的代币都会实现transfer方法,这个方法在ERC-20标签中的定义为:function transfe...
《我学区块链》—— 二十三、以太坊安全之地址漏洞
xuguangyuansh的博客
08-06 972
二十三、以太坊安全之 地址漏洞 1、预备知识   EVM 虚拟机在解析合约的字节码时,依赖的是ABI的定义,从而去识别各个字段位于字节码的什么地方。关于ABI,可以阅读这个文档:https://github.com/ethereum/wiki/wiki/Ethereum-Contract-ABI   这里以 transfer 方法为例,一般 ERC-20 token 标准的代币都会实现...
《我学区块链》—— 十、以太坊安全之 漏洞清单
xuguangyuansh的博客
06-15 1793
十、以太坊合约安全 &amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;遵循 ERC2
智能合约安全:地址攻击
飞久
11-14 3298
昨天一位博友提到地址攻击的问题,感觉挺有意思的,就花了点时间研究了一下。 1.什么是地址攻击 大家都知道,如果我们想调用智能合约的函数,需要在交易的payload字段中填充一段字节码。以ERC20的transfer()的函数为例,函数原型为: function transfer(address to, uint amount) public returns (bool success); 我们...
案例-以太坊地址攻击
weixin_34128237的博客
03-04 306
这种攻击方式的结果就是:让你瞬间由n个token变为n*256个token,穷屌丝变高富帅只需几分钟 攻击原理:在ERC20代币标准中,有一个标准化的transfer函数 function transfer(address _to, uint256 _value) returns (bool success) 当我们真正调用transfe...
区块链安全 - DAO攻击事件解析
Exploit的小站~
03-05 2万+
0x00 前言最近关注了一下区块链方面的安全,因此翻出来之前的DAO攻击事件研究了一番,形成此文。之后可能还会发一些其他的安全分析文章。0x00 基础知识1.跨合约调用智能合约之间的调用本质上是外部调用,可以使用message call或者创建智能合约对象的形式进行调用。(1)使用message call比如合约1调用合约2的某个方法:bytes4 methodId = bytes4(keccak...
URL跳转攻击
问题定位
11-20 3470
原文URL:http://blog.sina.com.cn/s/blog_64aa073d01011shx.html 0 引子   做个测试,点击新浪的URL http://t.cn/zO5YXKe ,可许你会觉得浏览器一顿,然后跳转到百度首页。 其实这个URL会让你的浏览器请求5次t.cn,并做了5次无甚意义的跳转,最终才到达百度。不过,对你的电脑没伤害,这个请不用担心。不过这个思路也可
智能合约的安全问题
张童鞋
11-03 8629
前言本文主要总结以太坊智能合约的安全漏洞。新加坡国立大学的Loi Luu提出了现在的智能合约存在的几种安全漏洞1。然而,由于智能合约目前还只是初级阶段,相信各种安全问题会不断的发现。智能合约中的安全漏洞交易顺序依赖合约交易顺序依赖就是智能合约的执行随着当前交易处理的顺序不同而产生差异。例如,有两个交易T[i]和T[j],两个区块链状态S[1]和S[2],并且S[1]状态处理完交易T[j]后才能转化为

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值