从 EIP-1967 再谈 “鱿鱼游戏SQUID” 安全风险

最新推荐文章于 2025-06-02 23:49:55 发布
最新推荐文章于 2025-06-02 23:49:55 发布
阅读量4.6k 收藏
点赞数
文章标签: 安全 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SierraW/article/details/121267819
版权
本文分析了Squid游戏代币的安全性,指出其依赖EIP-1967提案,揭示了价格波动、合约潜在的逻辑合约地址篡改风险,以及如何通过_sir参数影响合约执行逻辑。提醒投资者注意合约的中心化问题和安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

随着电视剧的爆火,鱿鱼游戏的热度也逐渐攀升,而 SQUID 在 10 月 21 日上线后,价格幅度变化巨大,但是现在的它真的安全吗?

Squid 从代码上来看其依赖于以太坊提案 EIP-1967,知道创宇区块链安全实验室 将从 EIP-1967 提案再谈 Squid 的安全风险。

SQUID 价格从 0.08 刀一路扶摇直上九万里,飙升到 3000 美元。然而令人唏嘘的是,价格随即闪崩,5 分钟从 3000 跌至 0.0007,究其原因,合约开发者在短短的几分钟内利用 7000w 枚 Squid 砸盘 ,导致流动性池被抽干,直至归零。

在经历了底部 0.0007 后,该游戏代币最近短短几天重新涨到了 0.4,涨幅达到了 50 倍以上,可谓势头不小。

在这里插入图片描述

EIP-1967

This EIP standardises the storage slot for the logic contract address,
instead of a public method on the proxy contract as DelegateProxy
(EIP897) does. The rationale for this is that proxies should never
expose functions to end users that could potentially clash with those
of the logic contract.

首先,EIP-1967 的目的是规定一个通用的存储插槽,用于在代理合约中的特定位置存放逻辑合约的地址。

在该提案中,对逻辑合约地址的存储槽进行了标准化,而不是像 DelegateProxy (EIP897) 一样在代理合约上使用公共方法。

通过跟进该提案,在提案中定义了如下的标准化存储槽。

bytes32(uint256(keccak256("eip1967.proxy.implementation"))
最低0.47元/天 解锁文章
阿里云国际版跨境加速,全球加速和Squid 缓存代理解决方案
九河智造云的内容中心
04-14 1861
在这篇博客中,87cloud将详细讨论使用阿里云全球加速和Squid 缓存代理构建跨境加速解决方案所需的步骤。 解决方案概述 该解决方案利用阿里云全球加速(GA) 服务来加速访问中国境外托管的服务,例如 salesforce.com。 此解决方案中有 3 个主要组件: 一个在 海外区域运行 Squid 缓存代理的 ECS 实例。 一个具有跨境带宽包的GA实例,在中国大陆分配加速IP地址。 一个对象存储服务 (OSS) 存储桶托管用于客户端代理自动配置的 PAC 文件。 在此解决方案中..
0x5f375a86魔法数字
qq_36553031的博客
02-05 6163
0x5f375a86属于一个魔法数字。它来自一个传奇算法(平方根倒数速算法),此算法最早被认为是由约翰·卡马克所发明,发明时这个值为0x5f3759df,后来由Lomont通过暴力穷举找到这个更优值,但后来的调查显示,该算法在这之前就于计算机图形学的硬件与软件领域有所应用,如SGI和3dfx就曾在产品中应用此算法。 由来 此算法最早由Gary Tarolli在SGI Indigo的开发中使用。虽说随后的相关研究也提出了一些可能的来源,但至今为止仍未能确切知晓此常数的起源。 这个引擎的源代码里包括一个反
EIP1967实现可升级的合约(逻辑和数据存储分离)
yqq1997的博客
08-11 343
通过使用逻辑处理与存储分离的模式,来实现智能合约升级。EIP1967实现可升级的合约(逻辑和数据存储分离)通过以下伪代码进行理解。
EIP】ERC1967- 代理存储槽标准
深漂小码哥
05-29 1816
为了避免代理和逻辑合约在存储使用方面发生冲突,逻辑合约的地址通常保存在特定的存储槽中,保证永远不会被编译器分配。选择这些变量的方式可以保证它们不会与编译器分配的状态变量发生冲突,因为它们依赖于不以存储索引开头的字符串的哈希值。这可能会导致意外错误,甚至漏洞,因为代理会拦截调用并使用自己的值进行应答,因此对代理合约的调用会返回与预期不同的值。代理合约中的任何函数,只要其选择器与实现合约中的选择器匹配,就会被直接调用,完全跳过实现代码。代理存储其委托的逻辑合约的地址以及其他代理特定信息的一致位置。
EIP1967可升级合约详解
qiqi123j的博客
12-13 440
部署Proxy示例地址:https://testnet.bscscan.com/address/0xcb301306aa03115d40052eec804cc7458d03f1c2。可升级代理合约方案:用户访问proxy合约,实际方法由logic合约实现。数据存储在proxy合约中。
使用truffle verify plugin 验证Eip1967代理合约
热门推荐
topc2000的博客
11-24 1万+
准备阶段 依赖版本如下 Truffle v5.4.21 //file /package.json "dependencies": { "@truffle/hdwallet-provider": "^1.7.0", "ganache-cli": "^6.12.2", "truffle-contract-size": "^2.0.1" }, "devDependencies": { "@openzeppelin/contracts": "^4.3.3", "
代理/实现模式下合约插槽索引计算
天草降临的博客
06-25 1205
我们知道,以太坊上的合约具有不可更改特性(代码即法律),那么什么是不可更改呢?其实这是指部署的合约的字节码无法再更改了,但不代表合约的实现逻辑是无法更改的。 一、什么是代理/实现模式 那么怎么更改合约的实现逻辑呢?有一个办法是把合约的实现逻辑外包给一个独立合约,执行时调用这个外部合约。需要更改逻辑时,首先更改外部合约逻辑重新部署一个合约,然后在主合约中重新设置该外部合约的地址即可。 采用上面这种办法其实相当于实现了合约的可升级功能,当前流行的代理/实现模式就是这样。主合约只是一个代理(Proxy)合约,.
部署OpenZeppelin可升级合约
q_776355102的博客
01-15 1998
首次部署 需要部署三个合约,分别是逻辑合约,ProxyAdmin,TransparentUpgradeProxy。逻辑合约就是我们自己的业务合约,需要满足OpenZeppelin可升级合约的条件。以下业务合约以Params合约为例进行说明。 业务合约Params // SPDX-License-Identifier: MIT pragma solidity ^0.8.0; import "@openzeppelin/contracts-upgradeable/proxy/utils/Init.
以compound为例看合约升级模式编写姿势
FeelTouch Labs
06-05 780
compound到底是怎样实现合约升级的,以及与openzepplin的合约升级对比,有什么优势。
中国企业小心强对抗的SquidLoader攻击
互联网安全研究院
07-04 453
SquidLoader 具备强大的引诱和规避能力,以文件名和图片都模拟 Word 文档文件,本文件中包含大量引用微信或 mingw-gcc 等软件的代码,并且使用了多种检测规避技术如:使用模糊的指令、加密代码段、栈内加密字符串、跳转指令、返回地址混淆、控制流图混淆、调试器检测、执行直接系统调用、Win32 API 混淆等,可误导及绕开检测并阻止分析人员分析,使其难以被发现。小编建议,无论是企业还是个人都要加强防护,要谨慎打开来源不明的电子邮件及附件,仔细甄别邮件内容,避免恶意入侵。6、对邮件数据要备份。
Foundry教程:使用多种方式编写可升级的智能代理合约(下)
WongSSH的博客
08-01 1917
正如我们在上篇博客结尾时所述,本文主要依靠openzeppelin库介绍代理合约的编写,主要介绍EIP-1967EIP-1538、EIP-2535三个标准的内容和实现。
一种链下绕过非view限制直接读取智能合约某类特殊函数返回结果的技巧
天草降临的博客
06-29 873
一、前言 我们知道,在智能合约中一般分为读取(view/pure)或者写入(改变状态)这两种类型。由于保护数据设置障碍的需要,有时合约开发者并不想别人查看他们的view函数返回值,于是在上面增加了调用者权限限制,更有甚者,故意通过某种技巧(或者是业务需要)将此函数变成非view/pure类型的函数,也就是一个交易。这样线下(前端或者脚本)调用此函数时就是一个交易,是无法直接得到函数返回结果的。 在一篇文章《一种绕过管理员权限调用智能合约view函数的小技巧》中,我们介绍了绕过权限控制来读取view函数返回结
智能合约升级模式介绍 — 入门篇
王铁塔的博客
07-23 4558
以太坊最大的优势就是,每一笔用来转账、部署合约或者和合约交互的交易(事务)都被存在一个叫做区块链的公共账本上。一旦交易发生,就再也无法隐藏或者改变。这带来一个巨大的好处,就是在以太坊中的每一个节点都可以去验证任意一笔交易的合法性和当前状态。这使得以太坊成为一个非常健壮的去中心化系统。 但是随之而来的是,它还有一个最大的缺点,就是智能合约一旦部署之后,就再也无法改变源码。开发中心化应用(比如fac...
网站渗透测试服务 squid反向代理代码执行漏洞的挖掘
网站安全专家
09-02 509
在对网站进行渗透测试的时候,发现很多网站都在使用squid反向代理系统,该系统存在可以执行远程代码的漏洞,很多客户找我们SINE安全做渗透测试服务的同时,我们会先对客户的网站进行信息搜集工作,包括域名,二级域名收集,网站使用的反向代理系统,网站程序开发语言,是否使用开源的代码,以及网站后台路径收集,都在前期渗透中需要做的。 前段时间某一个客户网站使用的就是squid反向代理系统,客户APP,...
liunx 下巧妙使用代理服务器(squid
weixin_34244102的博客
08-31 1491
一、代理服务器 简介: 代理服务器是目前网络中常见的服务器之一,它可以提供文件 缓存、复制和地址过滤等服务,充分利用有限的出口带宽,加快 内部主机的访问速度,也可以解决多用户需要同时访问外网但公 有IP地址不足的问题。同时可以作为一个防火墙,隔离内网与外 网,并且能提供监控网络和记录传输信息的功能,加强局域网的 安全性等。它的主要作用有以下几点。 ...
透明代理Transparent Proxy
weixin_33896726的博客
03-15 653
2019独角兽企业重金招聘Python工程师标准>>> ...
使用ethers.js直接读取智能合约中插槽内容
天草降临的博客
06-25 1979
我在上一篇《代理/实现模式下合约插槽索引计算》中的最后,提到了一个合约示例,(BSC 区块链,地址为:0x4BfE9489937d6C0d7cD6911F1102c25c7CBc1B5A)不知道有没有读者有兴趣去看一下,在那个示例合约中,有一段代码我摘出来: /** * @return adm The admin slot. */ function _admin() internal view returns (address adm) { bytes32 slot = ADMIN_
安全】VulnHub靶场 - W1R3S
最新发布
风舞雪凌月的博客
06-02 477
本文记录了对W1R3S.inc服务器的渗透测试过程。通过扫描发现靶机开放21(FTP)、22(SSH)、80(HTTP)、3306(MySQL)端口,其中FTP存在匿名登录漏洞,获取到包含潜在密码线索的文档。Web服务发现Apache默认页面及Cuppa CMS安装界面,同时存在WordPress目录但访问受限。测试人员尝试了SSH和MySQL的弱口令爆破未果,后续将重点利用FTP获取的信息和Web应用漏洞进行深入渗透,最终目标是获取root权限并找到/root目录下的flag。测试过程展示了从信息收集到漏
eip-cip-v1-1.0 eip-cip-v1-2.0
11-29
eip-cip-v1-1.0 和 eip-cip-v1-2.0 都是以太网工业协议(EIP)和工业以太网通信协议(CIP)的版本。EIP是为工业自动化领域设计的一种基于以太网的通信协议,它提供了一种高效可靠的通信方式,用于工业设备之间的数据传输和控制。而CIP则是一种通信协议集合,它包括了多种不同的工业网络和协议,旨在提供一种统一的通信框架,便于各种不同的工业设备之间进行通信和集成。 eip-cip-v1-1.0 是早期的版本,而 eip-cip-v1-2.0 是更新的版本。在更新的版本中,通常会修复一些旧版的bug,增加新的功能,提供更好的性能和安全性。新版本的发布可能是由于用户需求的变化、技术的发展或者对旧版的改进而造成的。因此,使用最新的版本可以带来更好的使用体验和性能表现。 这两个版本的选择取决于用户对功能需求、性能要求等方面的考量。一般来说,建议用户选择最新的版本,因为它往往拥有更好的性能和安全性,并且会得到更好的支持和维护。当然,对于一些旧设备或者特定系统,可能会因为兼容性等原因继续使用旧版本。总之,选择合适的版本是根据具体情况来决定的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值