智能合约漏洞——未检查返回值

最新推荐文章于 2023-07-20 17:21:03 发布
最新推荐文章于 2023-07-20 17:21:03 发布
阅读量777 收藏 2
点赞数
分类专栏: 区块链 文章标签: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/S123456215/article/details/117354252
版权
本文探讨了Solidity智能合约中使用send、call等低级转账函数的安全隐患。举例说明了未检查返回值可能导致的逻辑错误,如在转账失败后仍继续执行状态修改。强调了在编写智能合约时,对转账函数返回值进行判断的重要性,以确保合约的正确性和安全性。
摘要由CSDN通过智能技术生成

在solidity中,某些低级函数/全局函数会产生返回值作为执行结果,而不是像我们直接使用智能合约类型的变量进行函数调用那样,在调用的函数执行失败时会使当前执行直接失败;对于这些低级函数,如果没有对其返回值进行判断,则很容易出现逻辑错误。需要注意的低级函数有:send、call、callcode、delegatecall和staticcal

比如在下列中:

contract Lotto {
    bool public paedOut = false;
    address public winner;
    uint public winAmount;
    // 其他功能函数
    ...
    function sendToWinner() public {
        require(!payedOut);
        winner.send(winAmount);
        payedOut = true;
    }
    
    function withdrawLeftOver() public {
        require(payedOut);
        msg.sender.send(this.balance);
    }
}

在第九行使用转账函数send,但是没有判断其返回值,这样即使send函数转账失败,第10行的状态修改依然会执行,这显然是错误的。

 

虎皮熊233
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
区块链 | solidity】js解析智能合约Solidity返回的struct
10-21 557
不少人在接收struct类型的返回值时不知道怎么处理,本文展示一种解析方法,以供各位学习交流,如有更好的方法,欢迎讨论。可以看到,整体上struct变成了一个数组,但是只有struct摆在前面的string类型数据是正常显示,而后面的uint都变成了形如**r {s: 1, e: 0, c: Array(1)}**的东西。首先看solidity代码,截取了关键部分,定义了一个结构体以及一个id到结构体的映射,该映射为public,意味着会自动生成getter函数。Solidity返回的struct。
分析智能合约漏洞
csds319的博客
07-09 2563
前几天又爆出新合约漏洞,可以查看着篇文章观看详细内容:https://mp.weixin.qq.com/s/MNXXdKmjqRLng53noP10ig因为之前没写过智能合约,没看明白为什么会出问题,请教了同事才了解清楚图1如上图所示,出现问题的是81行,但是为什么这句话会导致出现问题,allowed又是什么呢allowed是账户持有者调用approve后的结果,看下approve函数的代码图2如...
CheckReturn(检查返回值)
07-09 4732
Loki库提供了一种方法,要求函数返回后,使用者必须对其进行检查或则赋值。以必须判断指针为例进行说明。 自己写的代码简化了很多 CheckReturn.h #pragma once #include template struct TriggerAssert {  static void run(const T&)  {   assert( 0 );  } }; //
Coverity 代码静态安全检测
热门推荐
yasi_xi的专栏
12-20 4万+
最近公司在推行代码Security检查,使用了Coverity代码静态检测工具。功能很强大,超乎我的期望。主要功能如下: 列出不会被执行到的代码列出没被初始化的类成员变量列出没有被捕获的异常列出没有给出返回值的return语句某个函数虽然有返回值,但调用该函数的地方没有用到它的返回值,这也会被列出来列出没有被回收的new出来的对象列出没有被关闭的句柄精确定位到代码行,并提供逐层展开函数的
Solidity 智能合约基础入门(第二章)
最新发布
2202_76125312的博客
07-20 435
solidity中函数的介绍
智能合约审计之返回值检查
Fly_鹏程万里
07-16 2044
文章前言 返回值调用验证问题多出现在和转币相关的智能合约中,故又称作静默失败发送或检查发送,在Solidity中存在transfer()、send()、call.value()等转币方法,都可以用于向某一地址发送Ether,其区别在于: transfer发送失败时会throw,并且进行状态回滚,只会传递2300gas供调用,防止重入攻击 send发送失败时会返回false,只会传递2300gas供调用,防止重入攻击 call.value发送失败时会返回false,传递所有可用gas进行调用(.
智能合约安全——溢出漏洞
FingerNFT的博客
07-28 766
如果一个合约有溢出漏洞的话会导致计算的实际结果和预期的结果产生非常大的差异,这样轻则会影响合约的正常逻辑,重则会导致合约中的资金丢失。所以这个参数可以认为在攻击者的角度是不可用的。1.deposit函数存在两个运算操作,第一个是影响用户存入的余额balances的,这里传入的参数是可控的所以这里会有溢出的风险,另一个是影响用户的锁定时间lockTime的,但是这里的运算逻辑是每次调用deposit存入代币时会给lockTime增加一周,由于这里的参数不可控所以这个运算不会存在溢出风险。...
7Spring AOP盗梦空间之二——获得返回值AfterReturnning
08-07
通过阅读《Spring AOP盗梦空间之二——获得返回值AfterReturnning》这篇博文(链接:https://garrincha.iteye.com/blog/2111779),你可以获得更详细的实践指导和示例代码。同时,结合提供的压缩包文件"Spring_AOP_...
智能合约消息调用攻防.pdf
01-02
6. 授权访问漏洞授权访问漏洞是指智能合约中的授权访问漏洞,即攻击者可以经授权访问智能合约的函数。 智能合约消息调用攻防的防御技术点包括: 1. 输入验证:智能合约应该对输入参数进行验证,以防止...
东南大学网络空间安全实验基础——缓冲区溢出漏洞实验
07-07
东南大学网络空间安全实验基础——缓冲区溢出漏洞实验 该实验报告的主要目的是了解缓冲区溢出漏洞的原理和实验过程。缓冲区溢出漏洞是一种常见的安全漏洞,攻击者可以通过溢出缓冲区来 inject恶意代码,从而控制...
人工智能实践教程-从Python入门到机器学习邵一川-教学大纲-8页.doc
06-13
《人工智能实践教程——从Python入门到机器学习》是一门针对通信工程、计算机、大数据、人工智能相关专业设计的专业基础课程,旨在让学生掌握Python编程基础知识,并具备独立开发Python简单项目的能力。课程涵盖...
solidity入门 基础智能合约编写 public view 函数返回基础
qq_61897391的博客
10-21 636
solidity入门 基础智能合约编写 public view 函数返回基础
函数返回值检查的必要性
tietao的专栏
07-05 2759
早上检测昨天留下的内存泄露的bug, 程序运行一段时间后总会发生SIGSEGV信号,明显内存访问出错了。由于是多线程,开始时定位出错的原因花费了不少时间。在几个线程中来回查找,开始找到的疑似bug代码的片段,经分析与检测发现并不是真正的原因。 直到注释掉一段代码后,SIGSEGV信号没有再出现,感觉错误出现在这个函数中。 进入函数分析后,发现错误应该存在于strstr()函数的返回值上,
嵌入式系统C编程之错误处理
weixin_34175509的博客
08-18 240
  前言     本文主要总结嵌入式系统C语言编程中,主要的错误处理方式。文中涉及的代码运行环境如下:     一  错误概念 1.1 错误分类      从严重性而言,程序错误可分为致命性和非致命性两类。对于致命性错误,无法执行恢复动作,最多只能在用户屏幕上打印出错消息或将其写入日志文件,然后终止程序;而对于非致命性错误,多数本质上是暂时的(如资源短缺),一般恢复动作是延迟一些...
java异常—检查异常(checked exception)和检查异常(unchecked exception)
weixin_34113237的博客
09-01 1185
网易面试要我画异常的结构图,什么是检查异常,什么是非检查异常,我当时的表情是这样的,。我看过,忘了。没办法,继续看,写博客掌握。 先来看看异常的结构图,建议你结合JDK一起看。 可以看出异常的家族势力庞大,通常我们说的异常是包括exception和error。 Exception家族我们恐怕见的不少,但是error家族我们可能就没什么印象了,下面我来说说这两个类的区别...
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 4501
Fortity 安全评测结果及解决方案
智能合约语言 Solidity 教程系列9 - 错误处理
weixin_30415801的博客
04-07 300
最新内容会更新在主站深入浅出区块链社区 原文链接:智能合约语言 Solidity 教程系列9 - 错误处理 这是Solidity教程系列文章第9篇介绍Solidity 错误处理。 Solidity系列完整的文章列表请查看分类-Solidity。 写在前面 Solidity 是以太坊智能合约编程语言,阅读本文前,你应该对以太坊、智能合约有所了解, 如果你还不了解,建议你先看以太坊是什么 欢迎订阅区块...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值