注意!智能合约新式漏洞盘点

最新推荐文章于 2024-06-06 13:36:56 发布
最新推荐文章于 2024-06-06 13:36:56 发布
阅读量1.2k 收藏 3
点赞数

众所周知,区块链技术安全问题不容小觑,智能合约也已成区块链安全事件重灾之地。迄今为止,因智能合约攻击造成的损失高达20亿美金,其中最负“盛名”的众筹项目 TheDAO 所遭到的攻击竟造成价值逾5000万美元的损失。本文给整理了一些需要高度重视得新式漏洞,一起来看看吧。

介绍这些新式漏洞之前,需要给大家解释一个名词--通证(Token),可能链圈、币圈的大部分人对token都不陌生,熟悉的童鞋可以跳过。通证(Token)是区块链中定义价值的方式,用以标定金融或数字资产,其源代码实现方式也趋于标准化,从而使得通证之间的兑换和DAPP支持变得更加容易,包括钱包间的转账、交易所支持交易等。

新式漏洞如下:

高危漏洞1: 无限烧币

漏洞描述:只要用户A提供给用户B一个通证的额度,用户B就可以把用户A的通证余额全部烧光。

影响到的合约当前总市值:一千五百万美元

高危漏洞2: 无限铸币

漏洞描述:通过故意混淆函数名与构造函数名,发币人可以在合约中增发无限量的通证。造成持有者的通证大量贬值。

影响到的合约当前总市值:三百万美元

高危漏洞3: 转账即增发

漏洞描述:发币人转账能够通过整数溢出使得发币人自身的币达到无穷大。

影响到的合约当前总市值:一千六百万美元

中危漏洞1: 无主之币

漏洞描述:通过转移发币权,合约可以变成无主合约。用户的通证无法取出造成损失。

中危漏洞2: 卖币收益下溢

漏洞描述:用户卖币时由于合约出现的整数溢出问题,从合约中得到远远少于预期收益的ether。

 

原文链接:https://www.kg.com/article/485463336566263808

lidiya007
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
智能合约安全——溢出漏洞
FingerNFT的博客
07-28 753
如果一个合约有溢出漏洞的话会导致计算的实际结果和预期的结果产生非常大的差异,这样轻则会影响合约的正常逻辑,重则会导致合约中的资金丢失。所以这个参数可以认为在攻击者的角度是不可用的。1.deposit函数存在两个运算操作,第一个是影响用户存入的余额balances的,这里传入的参数是可控的所以这里会有溢出的风险,另一个是影响用户的锁定时间lockTime的,但是这里的运算逻辑是每次调用deposit存入代币时会给lockTime增加一周,由于这里的参数不可控所以这个运算不会存在溢出风险。...
智能合约常见10个漏洞
sinat_34996559的博客
01-03 2362
1. Reentrancy also known as or related torace to empty,recursive call vulnerability,call to the unknown This exploit was missed in review so many times by so many different people: reviewers tend to review functions one at a time, and assume that call...
智能合约开发中13种最常见的漏洞
最新发布
以择人之心择己,以恕己之心恕人。
06-06 4719
1.重入攻击 2.整数溢出和下溢 3.未授权访问 4.不当的继承顺序 5.短地址攻击 6.断言失败 7.代理模式中的初始化漏洞 8.时间依赖性漏洞 9.Gas限制和DoS攻击 10.权限管理不当 11.外部调用 12.随机数生成 13.存储和计算效率
两大智能合约签名验证漏洞分析
weixin_34413065的博客
10-17 265
可重入(Reentrancy)或整数溢出漏洞,是大多数开发人员知道或者至少听说过的,关于智能合约当中容易出现的安全问题。另一方面,在考虑智能合约的安全性时,你可能不会立即想到针对密码签名实现的攻击方式。它们通常是与网络协议相关联的。例如,签名重放攻击(signature replay attacks),一个恶意用户可窃听包含有效签名的协议序列,并针对目标进行重放攻击,以期获得益处。本文将解释智能合...
solidity 合约权限授权_智能合约中的那些后门漏洞
weixin_39717865的博客
10-29 896
作者:Al1ex @ 知道创宇404区块链安全研究团队时间:2020年8月20日前言智能合约的概念可以追溯到1994年,由Nick Szabo提出,但直到2008年才出现采用智能合约所需的区块链技术,而最终于2013年,作为以太坊智能合约系统的一部分,智能合约首次出现。智能合约包含了有关交易的所有信息,只有在满足要求后才会执行结果操作,智能合约和传统纸质合约的区别在于智能合约是由计算机生成的,因此...
小心!智能合约再爆高危漏洞,两大加密货币直接变废纸!
区块链大本营
06-06 1107
大家都还记得,前一段时间发生的BEC智能合约的安全漏洞问题。近日,智能合约安全问题再次上演,火币Pro发布公告,暂停EDU冲提币业务,随后EDU智能合约被爆出存在严重漏洞...
浅谈python之新式
09-20
Python中的新式类是自Python 2.2版本引入的一个概念,主要为了改善类的机制和性能。在Python 2.x版本中,新式类和经典类并存,但从Python 3.x开始,所有用户定义的类默认都是新式类。新式类的关键特性是它们隐式地...
2020新式茶饮白皮书.pdf
02-03
2020新式茶饮白皮书.pdf
新式茶饮共16页.pdf.zip
11-09
9. **技术创新**:智能化设备在新式茶饮制作中的应用,如自助点单系统、无人售货机等,可能会被提及。 10. **消费者洞察**:了解消费者的需求变化,比如对口感、健康、便捷性的追求,是品牌持续创新和提升竞争力的...
CreeLED灯泡采用新式散热孔设计
01-20
尽管其外观很像老式白炽灯,但是Cree巧妙地引入了新式散热孔设计,能够比旧款产品提供更好的散热效果。Cree称之为“4Flow Filament Design”,而我们只需要知道它利用的是基本的对流原理就行了。  由于采用了...
2021年中国新式茶饮行业研究报告
10-17
2021年中国新式茶饮行业研究报告
ERC20 智能合约整数溢出系列漏洞披露
Fly_鹏程万里
07-22 1725
从2016年The DAO被盗取6000万美元开始 ,到美链BEC价值归零 、BAI和EDU任意账户转帐 ,再到最近EOS漏洞允许恶意合约穿透虚拟机危害矿工节点 ,“智能合约”俨然成为区块链安全重灾区。“清华-360企业安全联合研究中心”团队在区块链安全方面进行了持续研究,开发了自动化漏洞扫描工具,近期发现了多个新型整数溢出漏洞,可造成超额铸币、超额购币、随意铸币、高卖低收、下溢增持等严重危害...
以太坊Token合约惊现“古老”溢出漏洞,多家交易所受到影响
weixin_43385299的博客
12-28 296
事件 本周四凌晨(2018年12月27日),降维安全实验室(johnwick.io)自主研发的**"智子"区块链威胁感知预警系统**监控到某知名ERC20合约遭到黑客攻击, 黑客利用该合约批量转账中存在的整数溢出问题,向黑客受控账户"增发"了115,792,089,237,316,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000...
PeckShield CEO 蒋旭宪:智能合约安全问题不可怕,预防和响应机制才是关键
区块链大本营
06-03 2202
2018年6月3日,由全球最大开发者社区CSDN和专注以太坊生态建设的领先企业灵钛科技主办,以太坊爱好者社区、柏链道捷、火星财经、金色财经、Unitimes、区块链大本营协办的「2018以太坊技术及应用大会·中国」在北京·悠唐皇冠假日酒店隆重举行。 本次大会围绕以太坊生态、以太坊核心技术、以太坊优质应用展开,邀请了众多国内外顶级开发者、以太坊团队核心成员,以及顶级项目负责人齐聚于此,共同助力中国...
PeckShield:DeFi平台Opyn智能合约漏洞详解——攻击者空手套白狼!
PeckShield的博客
08-06 719
北京时间2020年08月05日,DeFi 期权平台 Opyn 的看跌期权(Opyn ETH Put)智能合约遭到黑客攻击,损失约37万美元。Opyn 是一个通用期权协议,于今年2月份转型...
智能合约漏洞,2023 年 Web3 中最常见的 10 个漏洞
09-08 467
浮点运算和舍入误差处理不当可能会导致财务差异或合约逻辑被利用。精确处理数值运算,在适用的情况下使用定点算术,对于避免此类漏洞至关重要。通常,这些漏洞可能出现在无需许可的兑换协议中,其中非标准小数位数(decimal)值可能会带来不可预见的后果。重入攻击在以太坊中有着悠久的历史,是造成 The DAO Hack 的漏洞类别,DAO Hack 是 2016 年早期以太坊网络上最大的攻击之一。重入允许攻击者在上一次调用完成之前重复调用易受攻击的合约,从而导致意外的情况发生。状态变化和未经授权的资金转移。
智能合约经典漏洞案例,xSurge 重入漏洞+套利 综合运用
09-27 1994
再看下漏洞存在的 sell 方法中的关键代码,sell 方法有 nonReentrant 修饰符,存在对重入攻击的防范措施,所以在 sell 函数执行完之前,攻击者是无法再次进入到 sell 函数中的。在漏洞利用中,攻击者也没有利用漏洞再次进行 sell 函数,而是利用漏洞后进入 purchase 函数。本次合约代码中存在的漏洞利用与传统的重入攻击有些区别。
【论文阅读】关于智能合约漏洞检测
RuRu_Bai的博客
03-05 1518
两篇论文,都是关于智能合约漏洞检测的综述文章[1]崔展齐,杨慧文,陈翔等.智能合约安全漏洞检测研究进展[J/OL].软件学报:1-33[2024-03-05].https://doi.org/10.13328/j.cnki.jos.007046.[2]王丹,黄松,王兴亚.以太坊智能合约测试研究综述[J].信息技术与信息化,2023(10):52-58.两篇文章中主要内容都是总结了13种常见的漏洞类型并进行简单介绍、几类测试方法以及未来的工作和展望。
matlab新式饼图
09-11
在MATLAB中,你可以使用“pie”函数创建新式饼图。这种饼图具有更现代和美观的外观,并具有许多自定义选项。 以下是一个示例代码: ```matlab % 创建数据 labels = {'A', 'B', 'C', 'D', 'E'}; sizes = [15, 30, 10, 25, 20]; % 创建新式饼图 pieObj = pie(sizes); hText = findobj(pieObj,Type','text'); % 获取饼图上的文本对象 percentValues = get(hText,'String'); % 获取百分比值 txt = strcat(percentValues,{' '},labels); % 添加标签和百分比值 % 设置饼图属性 set(hText, 'FontSize', 12, 'FontWeight', 'bold'); % 设置文本样式 legend(labels, 'Location', 'best'); % 添加图例 % 添加标题和标签 title('新式饼图'); ``` 这段代码将创建一个新式饼图,其中包含5个扇区,每个扇区所占的百分比由"sizes"数组定义。"labels"数组定义了每个扇区的标签。你可以根据需要自定义这两个数组。 请注意,这只是使用MATLAB创建新式饼图的一种方法,你还可以根据你的需求进行进一步的自定义和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值