几乎所有的 Solidity 合约都有这个安全问题

最新推荐文章于 2023-08-06 01:53:50 发布
VIP文章 最新推荐文章于 2023-08-06 01:53:50 发布
阅读量419 收藏
点赞数
文章标签: 安全 以太坊 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinadefi/article/details/123068719
版权

几乎所有的 Solidity 合约都有这个安全问题

未标题-3

img

几乎所有的Solidity合约都有这个安全问题,有些合约比其他的更严重。这个问题是Solidity编译器固有的。考虑在Solidity中实现映射:

mapping(uint256 => bytes32) mapping1;

生成的存储地址总是在0` – 2**256-1范围内。没有数学上的保证可以确定其没有冲突。事实上,在这个范围内证明冲突的存在是很容易的。

Pseudo-Demonstration

考虑定义在N1范围内的keccak256函数k:从0到2**256-1的自然数。它在EVM中的输出也是N1。此外,N1中任何元素的输出都是有保证的,输出也不是微不足道的(否则就不能满足加密要求);因此k不是恒等函数。另外:输出尽可能接近于单射。因此,它尽可能的会接近于双射(在不破坏密码属性的情况下证明双射应该是不可能的)。(我称之为伪双射。)

这种伪双射函数几乎在所有时间都不同于恒等函数,保证每个参数值至少有一次冲突(除了是当函数给出与恒等函数相同的输出时)。对于任何其他没有冲突的情况,它们必须有相同数量的有多于一次冲突的情况)。换句话说:伪双射函数不是排列,平均每个输入值有 1 次冲突,并且很有可能超过1次。k函数有可能与另一个输入发生1/(2**256-1)

最低0.47元/天 解锁文章
chinadefi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2024solidity智能合约开发零基础精细化入门教程
05-09
静态类型:Solidity是一种静态类型语言,这意味着所有变量的类型在编译时都必须明确指定。 面向合约Solidity中的主要构建块是合约(Contracts),它们类似于面向对象编程中的类。合约可以包含状态变量、函数、事件...
零时科技|solidity智能合约基础漏洞——重入漏洞
m0_37598434的博客
02-25 3752
区块链领域的安全问题不容忽视,这就要求开发者必须时刻小心谨慎,养成防御性编程思维
Metamask项目方给Solidity程序员的16个安全建议
FeelTouch Labs
06-23 1880
应该使用require函数来确保满足有效条件,例如输入或合约状态变量,或者验证来自外部合约调用的返回值。
Solidity智能合约安全指南:预防已知攻击的关键.
博客致力于促进知识的共享,并且希望能将志同道合的人建立一起,拓宽视野,深化思考,获得新的启发.
07-08 2959
在进行Solidity智能合约开发时,确保合约安全性是至关重要的。虽然编写一个简单的合约可能相对容易,但要确保它能够抵御各种已知和未知的攻击却是一项艰巨的任务。为了有效预防攻击,首先我们需要了解已知的一些常见攻击类型,只有了解清楚这些攻击,才能更好地保护合约安全性本文将为您汇总一些Solidity中已知的攻击类型,并提供一些预防这些攻击的关键措施(以下就是个人整理的一些已知攻击)重入算术溢出意外之财默认的可见性随机错觉外部智能合约引用短地址/参数攻击未检查的返回值竞争条件/预先交易。
Solidity 安全:已知攻击方法和常见防御模式综合列表
Fly_鹏程万里
02-01 2399
虽然处于起步阶段,但是 Solidity 已被广泛采用,并被用于编译我们今天看到的许多以太坊智能合约中的字节码。相应地,开发者和用户也获得许多严酷的教训,例如发现语言和EVM的细微差别。这篇文章旨在作为一个相对深入和最新的介绍性文章,详述 Solidity 开发人员曾经踩过的坑,避免后续开发者重蹈覆辙。   重入漏洞 以太坊智能合约的特点之一是能够调用和利用其他外部合约的代码。合约通常也...
Solidity安全问题
qq_40428105的博客
09-29 363
1、外部调用: 尽量避免外部调用 分析“send()”,"transfer()","call.value()" x.transfer()和if(!x.send(y)) throw;等价,send是transfer的底层实现,尽量直接使用transfer someAddress.send()和someAddress.transfer()能保证可重入安全。这些外部智能合约能够被出发执行,但是...
不太聪明的合同:Solidity安全问题的示例
02-05
不太聪明的合同:Solidity安全问题的示例
solidity-audit-checklist:审核Solidity智能合约时要查找的事项清单
05-18
审核Solidity智能合约时要查找的事项清单。 这不是一个完整的列表,并且稳固性正在Swift发展,因此请尽您所能。 并非所有列出的项目都适用于您的特定智能合约。 没有特别的顺序: 所有功能都是internal除非明确要求...
solidity-coverage:Solidity智能合约的代码覆盖率
05-11
有关这是什么,它如何工作以及潜在限制的更多详细信息,请参阅。 solidity-coverage是 安装 $ npm install --save-dev solidity-coverage 资源: ,以升级从0.6.x到0.7.x 松露V5 将此包添加到truffle-config.js ...
如何通过Solidity编程语言创建高度定制化的加密货币
禅与计算机程序设计艺术
08-06 1175
本文将详细介绍如何通过Solidity编程语言创建高度定制化的加密货币。文章适合具有一定编程基础的读者,并且需要具备一些经济学、金融学或数字货币相关知识。如无此类知识储备,建议先阅读相关的专业书籍。Crypto Currency和Blockchain技术的兴起已经让越来越多的人了解这个世界上正在发生的改变。作为新时代的先锋,我相信每个人都在探索新潮的知识和方法,而创造出属于自己的价值系统。那么,在过去的几年里,有哪些项目或组织成功地开创了新的加密货币或者区块链项目呢?
Solidity中使用CREATE2创建确定的合约
yqq1997的博客
12-28 532
可以创建确定的合约地址,并且事先可以知道合约地址。其实很简单, 就是在创建合约时加入。预先计算的合约地址与实际调用。创建出来的地址是一样的。
solidity教程(五)ERC721 标准和加密
Clown95
10-23 2968
title: solidity教程(五)ERC721 标准和加密 tags: solidity,eth 声明:本系列教程是整理cryptozombies https://cryptozombies.io/zh而来。 Lesson 5: ERC721 标准和加密收藏品 呼,游戏变得越来越刺激啦… 在这一课,我们将接触到一些更高级的东西。 我们将讨论 代币, ERC721 标准, 以及 加密收...
以太坊Solidity智能合约安全之短地址或参数攻击漏洞的原理及预防
StevenX5
05-19 1585
这个漏洞发生在第三方合约或应用程序调用智能合约时。当将参数传递给智能合约时,参数将根据 ABI 规范进行编码。第三方合约可以发送比预期参数长度短的编码参数。在这种情况下,EVM 将在编码参数的末尾填充 0,以弥补预期的长度。这样,当智能合约不验证输入时,这就会成为一个问题。最明显的例子是,当用户请求提款时,交易所不验证 ERC20 令牌的地址。本文介绍了以太坊Solidity智能合约的短地址/参数攻击漏洞原理、攻击方法和预防措施。
以太坊智能合约开发:Solidity语言中的哈希(hash)函数
StevenX5
07-10 3829
Solidity语言中,用于加密的哈希函数是一种算法,它将任意大小的数据作为输入,并生成固定大小(32个字节)的加密文本。即使输入的微小变化也会产生完全不同的输出。Solidity提供以下几种加密函数:keccak256、sha256、ripemd160、ecrecover。以太坊使用keccak进行哈希计算,这与SHA_256类似但不相同。...
第一个solidity程序
目前专注区块链相关技术的学习与分享
05-29 548
以太坊虚拟机 EVM 是智能合约的运行环境。它不仅是沙盒封装的,而且是完全隔离的,也就是说在 EVM 中运行代码是无法访问网络、文件系统和其他进程的。甚至智能合约之间的访问也是受限的。
区块链技术进阶-深入详解以太坊智能合约语言 solidity(含源码)
07-30
区块链开发技术进阶-深入详解以太坊智能合约语言 solidity视频培训教程:本课程是国内全面介绍智能合约语言的课程,内容包括钱包、以太坊网络、货币单位、交易等区块链核心概念讲解;开发环境搭建、智能合约Solidity类型详解、Solidity内置API、Solidity函数、代码调试等内容。
solidity进阶第五课——Create2
qq_52708261的博客
10-16 2560
initialize函数会在Pair合约创建的时候被工厂合约调用一次,将token()和token1更新为币对中两种代币的地址。在这两种情况下,新合约的地址都以相同的方式计算:创建者的地址(通常为部署的钱包地址或者合约地址)和。Create2操作码使我们在智能合约部署在以太坊网络之前就能预测合约的地址。(该地址发送交易的总数,对于合约账户是创建的合约总数,每创建一个合约nonce+1))的哈希。通过它,我们可以验证我们事先计算的地址和实际地址是否相同。是币对地址的数组,存储了所有币对地址。
solidity Dapp 多重签名合约 —— 他好,你也好
The future is already here it's just not evenly distributed。
09-12 5768
建立一个多重签名合约,这个合约可以有多个账户。每次通过这个合约转出ETH时,就需要一定数量的账户同意(例如总共有3个用户,可以设置需要2个同意)。这个应用场景也比较明显,例如公司的一份文件经常需要几个单位或部门分别签名才有效,多重签名技术就是在网络环境里解决这类问题的一种方法,用于同一文档必须经过多人的签名才有效的情形。在推广一下,个人合资创业也是一样,防止其中某个人卷钱跑路。 ...
比较复杂的solidity合约
最新发布
11-05
Solidity是一种用于编写智能合约的高级编程语言,它被广泛应用于Ethereum区块链上的智能合约开发。...以上是一个简单示例,但复杂的Solidity合约的编写需要更加详细的设计和思考,以确保合约的正确性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值