这些智能合约漏洞,可能会影响你的账户安全

最新推荐文章于 2024-06-06 13:36:56 发布
最新推荐文章于 2024-06-06 13:36:56 发布
阅读量97 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csOPPO/article/details/127310374
版权
本文探讨了区块链智能合约中的形式化验证重要性,解释了由于智能合约错误可能导致的严重后果,并介绍了定理证明、符号执行、模型检测等验证方法,以及当前技术应用面临的问题和未来展望。
摘要由CSDN通过智能技术生成

这些智能合约漏洞,可能会影响你的账户安全!

什么是形式化验证?

维基百科对形式化验证的解释是这样的: 在计算机硬件(特别是集成电路)和软件系统的设计过程中,形式化验证的含义是根据某个或某些形式化规范或属性,使用数学的方法证明其正确性或非正确性。传统上在硬件设计领域比较常用。主要原因就是硬件设计周期长,成本高,一旦生产出来就很难改动了。例如一个 CPU 设计如果已经出芯片了,那么出了问题就是大事。形式验证可以分为三大类:抽象解释(Abstract Interpretation)、形式模型检查(Formal Model Checking,也被称作特性检查)和定理证明(Theory Prover)。

区块链智能合约为什么需要形式化验证?

在区块链系统中可以编程且自动运行的程序被称为智能合约。智能合约最早在以太坊区块链平台上应用,如Solidity就是一种智能合约编程语言,以使传统应用程序开发人员能够编写智能合约。初期会Solidity语言的全球只有几百人,后来随着以太坊与区块链的火热,参与Solidity智能合约的人才开始逐渐增加,但是跟整个IT市场的从业人群比起来,会编写智能合约的人还是太少,大量的IT从业者要想开发智能合约只能去学习Solidity。为了让更多的IT从业者可以参与智能合约的编写与业务规则的实现,智能合约平台在原有Solidity的基础上扩展了对更多主流语言,甚至高级语言的支持,这样可以让多普通It从业人员也有了可以进行智能合约编写的可能性,大量熟悉Java、Go、Php等技术编程的开发人员都可以参与智能合约的开发。

然而,由于区块链交易是不可变的,智能合约代码中的错误会产生毁灭性的后果,破坏了对底层区块链技术的信任。例如,臭名昭著的TheDAO漏洞导致价值近6000万美元的以太损失,奇偶校验钱包漏洞导致价值1.69亿美元的以太永远被锁定。解决这些事件的唯一补救办法是硬分叉区块链,并将其中一个分叉恢复到事件发生前的状态。然而,这种补救办法本身是毁灭性的,因为它摧毁了区块链的核心价值,如不可变性和分散信任。但是智能合约的编写目的是为了行业应用,一旦应用到实际中必须考虑智能合约的安全性,智能合约要达到机器可信,就必须首先排除掉因人为因素而造成的智能合约破坏情形。智能合约形式化验证提供了一种可以证明的安全检验机制,通过形式化语言把合约中的概念、判断、推理转化成智能合约模型,可以消除自然语言的歧义性、不通用性,进而采用形式化工具对智能合约建模、分析和验证,进行一致性测试,最后自动生成验证过的合约代码,形成智能合约生产的可信全生命周期。可以把市场上已经出现的安全风险进行排查与审计,经过审计后的智能合约代码自然安全性就得到增强,同时智能合约形式化验证也是目前对智能合约进行安全保证最可靠的措施。行业应用区块链与智能合约,就需要进行智能合约 的形式化验证,消除安全隐患。

智能合约形式化验证方法分类

业界通常对智能合约进行形式化验证都有一些通用的方法,大体上分为下面几种通用的方法,每种方法都有一些工具和框架进行支撑。

1. 定理证明

最低0.47元/天 解锁文章
IT科技苏辞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ERC20智能合约整数溢出系列漏洞披露
10-16
然而,就像传统软件一样,智能合约也存在安全漏洞,尤其是在开放的区块链网络中,一旦被利用,其影响可能是灾难性的。整数溢出就是这类问题的一个经典示例,可能导致数值从极大值突然变为极小值或归零,如1996年...
Mythril自动化测试智能合约并进行分类存储
qq_45138078的博客
10-18 3129
本文讲解了如何下载安装docker和Mythril,并介绍了mythril的使用以及如何自动化检测智能合约的样本并对其进行分类存储
这些智能合约漏洞可能影响你的账户安全
华为云官方博客
08-04 2528
摘要:区块链联盟链智能合约形式化验证揭秘,解释了我们为什么要对区块链上的智能合约进行形式化验证,以及形式化验证的分类和业界针对每种分类所推出的形式化验证工具,最后作者描述了一下目前形式化验证的种种方法所面临的问题及对于这个领域技术发展的展望。
Laravel中Contracts的理解和使用
VVVinegar的博客
04-25 5373
这两天详细的学习了下lavarel中contracts和facades这两部分内容。这一篇就先谈谈对contracts的理解和用法。Laravel 的 Contracts 是一组定义了框架核心服务的接口。说白了就是一组接口。使用它就是为了降低耦合性。即便如此,是不是也有同学搞不清楚Contracts在lavarel体系中的到底在一个什么样的位置?下面上一张自制的图,也许有地方不对,但是初学的同学可
区块链论文7(oyente智能合约漏洞检测工具)
XingFuXiaoAi520的博客
06-12 7462
Making Smart Contracts Smarter 文章路径 Abstract: Cryptocurrencies record transactions in a decentralized data structure called a blockchain. Two of the most popular cryptocurrencies, Bitcoin and Ethereum, support the feature to encode rules or scripts for
智能合约开发中13种最常见的漏洞
最新发布
以择人之心择己,以恕己之心恕人。
06-06 6614
1.重入攻击 2.整数溢出和下溢 3.未授权访问 4.不当的继承顺序 5.短地址攻击 6.断言失败 7.代理模式中的初始化漏洞 8.时间依赖性漏洞 9.Gas限制和DoS攻击 10.权限管理不当 11.外部调用 12.随机数生成 13.存储和计算效率
区块链智能合约安全分析.pptx
06-01
#### 一、智能合约漏洞类型分析 **1. 输入验证缺陷** - **缺乏输入验证**:智能合约如果未能有效地验证用户输入的数据,则可能受到攻击者的非法输入,进而触发异常行为或者未经授权的操作。 - **输入验证不完整*...
以太坊智能合约安全检查清单:Knownsec 404团队的以太坊智能合约安全检查清单
02-05
2. **固有漏洞**:关注常见的智能合约漏洞,如重入攻击(Reentrancy)、交易顺序依赖(Transaction Order Dependence)、溢出和下溢(Overflow/Underflow)等。这些漏洞可能导致资金丢失或合约被恶意利用。 3. **...
智能合约消息调用攻防.pdf
01-02
智能合约消息调用攻防是指在以太坊网络中,智能合约之间的消息调用可能存在的安全漏洞和攻防技术。智能合约消息调用是指从一个以太坊账户向另一个账户发送消息的行为,可以用于转账、跨合约方法调用。然而,这种消息...
Solidity智能合约
04-29
8. **智能合约审计(Smart Contract Auditing)**:为了确保合约的安全性,应该进行彻底的审计,检查可能存在的漏洞,如重入攻击、未初始化的变量、权限错误等。 9. **用户界面(UI)**:虽然Solidity合约在区块链...
M-A-R:智能合约重入漏洞的动态符号执行检测
03-05
MAR 智能合约重入漏洞的动态符号执行检测
Making Smart Contracts Smarter.pdf
08-29
本文研究了在类似于加密货币的开放分布式网络中运行Ethereum智能合约安全性。我们引入了几个新的安全问题,在这些问题中,对手可以通过巧妙地执行合约来获取利润。这些bug表明,在理解底层平台的分布式语义方面存在细微的差异。作为一种改进,我们提出了增强Ethereum操作语义的方法,使合约不那么脆弱。对于为现有Ethereum系统编写契约的开发人员,构建了一个名为Oyente的符号执行工具,以发现潜在的安全bug。讨论了几个具有源代码的案例研究的攻击严重性,并在主要的Ethereum网络中确认了攻击。
manticore:符号执行工具
02-05
Manticore Manticore是用于分析智能合约和二进制文件的符号执行工具。 产品特点 程序探索:Manticore可以执行带有符号输入的程序,并探索其可能达到的所有状态 输入生成:Manticore可以自动产生具体输入,从而产生给定的程序状态 错误发现:Manticore可以检测二进制文件和智能合约中的崩溃和其他故障情况 工具:Manticore通过事件回调和指令挂钩提供对状态探索的细粒度控制 程序接口:Manticore通过Python API公开对其分析引擎的程序访问 Manticore可以分析以下类型的程序: 以太坊智能合约(EVM字节码) Linux ELF二进制文件(
智能合约漏洞,2023 年 Web3 中最常见的 10 个漏洞
09-08 540
浮点运算和舍入误差处理不当可能导致财务差异或合约逻辑被利用。精确处理数值运算,在适用的情况下使用定点算术,对于避免此类漏洞至关重要。通常,这些漏洞可能出现在无需许可的兑换协议中,其中非标准小数位数(decimal)值可能带来不可预见的后果。重入攻击在以太坊中有着悠久的历史,是造成 The DAO Hack 的漏洞类别,DAO Hack 是 2016 年早期以太坊网络上最大的攻击之一。重入允许攻击者在上一次调用完成之前重复调用易受攻击的合约,从而导致意外的情况发生。状态变化和未经授权的资金转移。
智能合约常见10个漏洞
sinat_34996559的博客
01-03 2442
1. Reentrancy also known as or related torace to empty,recursive call vulnerability,call to the unknown This exploit was missed in review so many times by so many different people: reviewers tend to review functions one at a time, and assume that call...
论文阅读:Making Smart Contracts Smarter
小水的博客
04-11 1275
阅读目标 对目前智能合约安全问题有全面的认识。 回顾区块链和智能合约相关的基础概念。 思考智能合约安全问题以及未来的展望。 文章结构概览 概要 介绍了加密货币以及智能合约的基本概念。 陈述了本文的目标是探索以太坊上智能合约运行的安全性,并推广到其他的加密货币。 简要介绍了他们的工作,包括: 提出了方法提升目前以太坊的安全性,使得智能合约不容易被攻击。 制作了一个工具OYENTE可以找到潜在的安全问题。 介绍了TheDAO漏洞 1. 介绍 简要介绍了分布式加密货币和智能合约的概念。 介绍了
智能合约漏洞篇:常见漏洞介绍及整数溢出漏洞分析
Reveone的博客
09-16 1029
智能合约是运行在区块链上的自动执行代码。由于它们的不可逆性和与金钱相关的特性,智能合约安全问题受到了广泛关注。整数溢出与下溢:当整数变量的值超出其允许的范围时,可能发生溢出或下溢,导致不可预测的结果。重入攻击:在一个函数调用中,被调用的合约再次调用原函数,可能导致不希望的多次执行。例如,著名的DAO攻击就是重入攻击的一种。短时间浮动:在区块链上,时间和块高度可以被操纵。攻击者可以利用这点,通过挖矿操作来操纵合约的时间逻辑。随机性问题:在以太坊等区块链平台上,产生随机数是有挑战的,因为所有信息都是公开的。
智能合约经典漏洞案例,xSurge 重入漏洞+套利 综合运用
09-27 2119
再看下漏洞存在的 sell 方法中的关键代码,sell 方法有 nonReentrant 修饰符,存在对重入攻击的防范措施,所以在 sell 函数执行完之前,攻击者是无法再次进入到 sell 函数中的。在漏洞利用中,攻击者也没有利用漏洞再次进行 sell 函数,而是利用漏洞后进入 purchase 函数。本次合约代码中存在的漏洞利用与传统的重入攻击有些区别。
智能合约的常见漏洞
weixin_33862188的博客
09-25 2557
目录: 1. 重入(Reentrancy) [1, 2, 3] 2. Call to the unknown [1] 3. Gasless send [1, 3] 4. Exception disorder/Mishandled Exceptions [1, 2, 3] 5. Type casts [1] 6. Keeping secrets [1] 7. Ether lost in trans...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值