Dao漏洞学习

最新推荐文章于 2024-09-25 18:43:10 发布
最新推荐文章于 2024-09-25 18:43:10 发布
阅读量1.2w 收藏
点赞数
文章标签: 学习 安全 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Timmbe/article/details/123133020
版权

Transaction 信息:https://etherscan.io/tx/0x0ec3f2488a93839524add10ea229e773f6bc891b4eb4794c3337d4495263790b
参考文章:
【1】https://learnblockchain.cn/article/644
【2】https://cloud.tencent.com/developer/article/1084243?from=15425
攻击执行流程:
1.建议拆分, 等到投票期(voting period)结束。(DAO.sol, newProposal)
2.执行拆分。(DAO.sol, splitDAO)
3.让DAO将新的DAO发送给它的代币。(splitDAO - > TokenCreation.sol, createTokenProxy)
4.确定DAO在更新你的余额之前尝试发送给你奖励, 但需在完成(3)之后。(splitDAO - > withdrawRewardFor - > ManagedAccount.sol, payOut)
5.当DAO执行(4)时, 让它再次运行splitDAO, 其参数与(2)中的相同(payOut - > _recipient.call.value - > _recipient())
6.DAO现在会向您发送更多子代币, 并在更新余额前提现您的奖励。(DAO.sol, splitDAO)
7.回到(5)!
8.调用transfer()发送Dao到下一个合约以便下一次攻击。
9.让DAO更新你的余额。因为它从来不会从(7)回到(5) 😃。

在getMyReward中也存在重入漏洞。可以循环拿取rewardAccount中的eth。与splitDao漏洞原理相同,但是奖励太低。

放牛日记
关注
智能合约漏洞学习笔记(1):重入攻击
qq_42943698的博客
03-04 1224
前置知识 回退函数(fallback function):每一个合约有且仅有一个没有名字的函数,无参数,无返回值 function() public payable{} 回退函数在以下几种情况中被执行: 调用合约时没有匹配到任何一个函数 没有传数据 智能合约收到以太币 (为了接受以太币,fallback函数必须标记为payable) 硬分叉:添加无法向下兼容的新规则,使得以太坊网络存在两条链:运行新规则的新链和运行旧规则的旧链 第一次硬分叉:调整了未来挖矿的难度,确保未来的用户会有转换至权益证
《我学区块链》—— 十一、以太坊安全之 The DAO 漏洞分析
xuguangyuansh的博客
06-15 5001
十一、合约安全DAO 漏洞分析        首先,再罗嗦几句 DAO 是什么,DAO 本质上是一个风险投资基金,是一个基于以太坊区块链平台的迄今为止世界上最大的众筹项目。可理解为完全由计算机代码控制运作的类似公司的实体,通过以太坊筹集到的资金会锁定在智能合约中,每个
区块链安全 - DAO攻击事件解析
Exploit的小站~
03-05 2万+
0x00 前言最近关注了一下区块链方面的安全,因此翻出来之前的DAO攻击事件研究了一番,形成此文。之后可能还会发一些其他的安全分析文章。0x00 基础知识1.跨合约调用智能合约之间的调用本质上是外部调用,可以使用message call或者创建智能合约对象的形式进行调用。(1)使用message call比如合约1调用合约2的某个方法:bytes4 methodId = bytes4(keccak...
网站10大常见安全漏洞及解决方案
liuhyusb的博客
04-01 1014
一般来说牛逼点的地方都会通过安全设备来确保网络环境的安全,所以之前我们也都认为程序员不需要过多的考虑网站安全问题。实际上随着做了几个事业单位的网站之后,也逐渐发现有些方面还是需要程序员注意的。几乎每一个网站后台开发人员都听到的一个词,并且都很敏感,但是不知道是什么原因造成的很多程序员却在实际开发过程中经常忽视这个问题。前段时间部门一位新同事,据说是5年工作经验,在对他的代码做评审时,我们发现所有的DAO层实现都是直接拼接SQL和参数,总监多次提醒他这个问题,但他也没有发现,直到总监说出SQL注入这个词。
重入攻击和 DAO 被黑事件
smartContractXH的博客
09-15 547
在 2015 年之前,还在早期的以太坊社区就开始讨论了。DAO 想要做到的是通过可验证的代码(具体来说,就是运行在以太坊区块链上的智能合约)来实现人与人之间的协作,同时通过社区的协议来进行去中心化的决策。在 2016 年,也就是以太坊主网运行了一年以后,一个名叫 “The DAO” 的 DAO 被创建了。它是一个去中心化的,由社区控制的投资基金。它通过销售自己的社区通证募集了价值 1 亿 5000 万的美元的 ether(大概有 354 万 ETH)。
[区块链]回顾史上最大智能合约漏洞事件——The DAO事件
热门推荐
ECNU乐扣老师——区块链、可计算情感
04-13 2万+
乐扣老师讲解The DAO事件 在区块链技术领域,The DAO事件可以算是一个以太坊的丑闻,当然也直接导致了硬分叉。在现实面前,面对黑客当着面利用漏洞源源不断从1.5亿美金的以太币池中拿走资金,而且还没办法。 本文面对这样的一个场景,主要是描述该场景中提到的攻击事件代码,围绕攻击的前因后果。项目进行的始末,最终通过剖析整个事件,达到历史经验借鉴,为未来利用智能合约时铭记安全意识的最终目的。...
区块链学习笔记
诸君拔剑吧.
06-10 5604
区块链学习笔记
Eth2Vec: 基于机器学习的智能合约漏洞检测
区块链:研究与应用3(2022)100101研究文章Eth2Vec:学习合约范围的代码表示,用于以太坊智能合约芦泽奈美a,柳井直人a,*,杰森·保罗·克鲁兹b,冈村慎吾ca大坂大学信息科学与技术学院,大坂565-0871,日本b大坂...
基于深度学习区块链智能合约安全检测系统.zip
03-29
3. **合约漏洞识别**:训练模型来识别已知的安全漏洞,如DAO攻击、Reentrancy漏洞等,并预测可能出现的新类型漏洞。 4. **风险评估**:通过深度学习模型对智能合约的风险等级进行评估,提供给用户决策参考。 5. **...
以太坊DAO攻击解决方案代码解析.docx
10-26
以太坊DAO攻击事件及其解决方案不仅展示了区块链技术面临的挑战,也为我们提供了一个宝贵的学习机会。通过这次事件,我们了解到即使是去中心化的系统也可能存在漏洞,并且在紧急情况下,社区可以采取非常规手段来...
文储研习社第11期 | DAO的前世今生
wenchujiaoyu的博客
06-04 254
DAO(Decentralized Autonomy Organization)即去中心化的自治组织。DAO是一个围绕任务组织的团体,该组织通过在区块链上实施的一组共享规则进行协作。
The DAO漏洞利用分析
李赫的专栏
09-04 8023
我相信大家都已经听说了关于DAO被盗高达$150M的头条新闻是由黑客使用递归以太坊发送漏洞利用。 这篇文章将会是第一个涉及这一系列可能是什么,提供通过区块链来对攻击者的行动进行时间轴上的追踪,解构和解释在技术层面上到底是什么出错了。第一篇的发布将会关注于攻击者具体是如何从DAO中偷走了所有的钱。 一个多级的攻击 DAO的这次漏洞利用显然不是微不足道的;具体的编程模式使得DAO的弱
TheDAO被攻击事件考察报告
李赫的专栏
07-04 1万+
作者 ChinaLedge联盟 段玺(Andy Dan) 简介     北京时间2016年6月17日发生了在区块链历史上留下沉重一笔的攻击事件。由于 其编写的智能合约存在着重大缺陷,区块链业界最大的众筹项目TheDAO(被攻击前 拥有1亿美元左右资产)遭到攻击,目前已导致300多万以太币资产被分离出TheDAO 资产池。TheDAO编写的智能合约中有一个splitDAO函数,攻击者通过
计算机毕业设计之:基于微信小程序的诗词智能学习系统(源码+文档+解答)
程序员阿龙的博客
09-22 4315
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
探索《越南语翻译通》App:高效语言学习的利器
工作姬
09-20 412
无论您是语言学习新手还是希望提高语言技能的专业人士,这款App都能为您提供帮助。它的学习材料覆盖了语言学习的各个方面,帮助用户全面掌握新语言。随着科技的发展,我们有了更多便捷的工具来帮助我们学习新的语言。今天,我们来探索一款名为《越南语翻译通》的App,它正逐渐成为语言学习者的新宠。《越南语翻译通》App采用了先进的AI技术,能够根据用户的学习进度和习惯,提供个性化的学习建议。它不仅提供了丰富的语言学习资源,还具备实时翻译功能,帮助用户在实际对话中快速理解和使用新语言。
大模型输入参数学习
AI智能,无处不在
09-25 267
top_p和top_k:用于控制生成文本的多样性和连贯性。较小的值会使生成的文本更连贯但缺乏多样性,较大的值会使生成的文本更随机和多样。:用于控制生成文本的随机性。较高的值增加随机性,较低的值增加确定性。:用于控制生成文本的长度。
Linux入门学习:进程概念
Lvision2的博客
09-24 1039
在课本的概念中,进程程序的一个执行实例,正在执行的程序。其内核观点:担当分配系统资源(CPU时间,内存)的实体。但这些概念太笼统,并不能让我们更加清晰的知道进程是什么,实际上,进程是内核数据结构(pcb) + 程序的代码与数据。pcb(process control block)进程控制块,进程信息被放在一个叫pcb的数据结构中,可以理解为进程属性的集合。在Linux入门学习:深刻理解计算机硬件与OS体系中,我们已经了解到。
2024-2025华为ICT大赛报名|赛前辅导|学习资料
最新发布
qq2859066538的博客
09-25 158
华为ICT大赛是华为公司打造的面向全球高校的年度ICT赛事,大赛以“联接、荣耀、未来”为主题,协同政府、高等教育机构、培训机构和行业企业,促进高校ICT人才培养、成长和就业,助力ICT人才生态繁荣。华为ICT大赛2023-2024实践赛涵盖网络、云、计算(第九届华为ICT大赛更名为基础软件)和昇腾AI四个赛道。为有效帮助参赛者把握命题思路、突破重点内容、检验学习效果、提高实战经验,更充分地备战大赛,华为首次推出华为ICT大赛2023-2024实践赛真题实战系列课程,为您铺就通往大赛的成功之路。
探索Visual C++编程深度:工程、MFC、DAO与调试秘籍
《深入编程内幕——Visual C++》不仅提供了一个实用的开发工具指南,也是一本系统讲解面向对象编程和Windows应用程序开发实践的教程,适合希望提升VC++技能的程序员深入学习。通过阅读这本书,读者能够掌握开发高...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值