solidity漏洞实践(一)

已于 2022-10-07 20:30:54 修改
阅读量311 收藏 1
点赞数
分类专栏: solidity 区块链 文章标签: javascript 开发语言 ecmascript
于 2022-06-20 23:04:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68764244/article/details/125382239
版权
本文探讨了Solidity智能合约中的两种漏洞,包括uint256溢出和call注入。通过实例分析,解释了如何利用这些漏洞满足特定条件以获取flag。作者承认自己不熟悉该领域,主要通过学习他人解决方案进行实践操作。
摘要由CSDN通过智能技术生成

题目描述

漏洞源码如下

pragma solidity ^0.4.19;
contract Vuln{
   
    address public owner;
    string public name     = "Chain";
    string public symbol   = "CHA";
    uint8  public decimals = 18;
    uint public totalSupply=10000000000;
    bool  public isLoan=false;
    bool public solved;
    event  Approval(address indexed from, address indexed to, uint number);
    event  Transfer(address indexed from, address indexed to, uint number);
    event  Deposit(address indexed to, uint number);
    event  Withdrawal(address indexed from, uint number);

    mapping (address => uint)                       public  balanceOf;
    mapping (address => mapping (address => uint))  public  allowance;
    constructor() public{
   
        owner=<
最低0.47元/天 解锁文章
luc1fer丶
关注
专栏目录
solidity已知漏洞
05-15
Solidity 已知漏洞 Solidity 是一种基于区块链的智能合约语言,它的安全性对整个区块链生态系统至关重要。本文将对 Solidity 已知漏洞进行总结和分析,并提供相应的防御方法。 1.DAO 算法上溢出漏洞 DAO 算法上...
Solidity 逆向分析入门学习
feng的博客
04-18 1240
前言 智能合约学到现在也学了差不多1周了,也接触了一些智能合约常见的攻击手段,跟着网上的文章也学习了很多。但是,学习的文章给的直接都是Solidity的源代码,但是: 智能合约大多数代码不公开源码,公开字节码,所以需要使用逆向工具或者人工进行逆向分析。 因此以后要强迫自己去逆向分析代码,提高自己的智能合约逆向分析能力。 但是一开始看逆向得到的伪代码还是比较迷的,因此跟着网上的一些最基本的入门的文章学习了一下,大致的理解这些逆向得到的伪代码,先有1。只要有了1,接下来就是靠自己不断的学习,不断逆向来提高分
逆向solidity 合约
11-11 216
参考:Reverse Engineering a Contract | ethereum.org
27. solidity ABI编码与解码
一个字,学
03-29 1248
在以太坊中,数据必须编码成字节码才能和智能合约交互。ABI(Application Binary Interface,应用二进制接口)是与以太坊智能合约交互的标准。数据基于他们的类型编码;并且由于编码后不包含类型信息,解码时需要注明它们的类型。这里介绍4个ABI编码ABI编码abi.encode。ABI解码abi.decode,用于解码abi.encode的数据。
不一样的智能合约安全视角——solidity逆向
SierraW的博客
09-07 626
前言 近年来在区块链不断蓬勃、发展壮大的同时,区块链安全事件频频发生,黑客们的手法也在不断发生着变化,要想更加深入的了解各式各样的攻击背后的原理以及黑客攻击的逻辑,智能合约逆向工程必不可少。 对此,知道创宇区块链安全实验室 进行了研究分析。 通常我们所说的智能合约都是存在区块链上,可以被触发执行的一段程序代码,由于区块链上所有的数据都是公开透明的,所以合约的代码也应该是公开的。 但实际上它公开的却是经过编译的 OPCODE,真正的源代码需要发布合约的人自己公开。当合约源代码没有被公开,而我们又想对其进行深
solidity漏洞实践(二)
m0_68764244的博客
10-07 486
三个solidity的复杂题型实践
Solidity-self-learning
03-29
在深入探讨Solidity自我学习的过程中,我们首先需要理解Solidity是一种智能合约编程语言,主要用于以太坊虚拟机(EVM)上,旨在为去中心化的应用程序(DApps)和区块链项目提供支持。"Solidity-self-learning"这个...
TEA:Solidity TEA智能合约
03-31
总的来说,"TEA: Solidity TEA智能合约"可能是设计用于创建和管理代币经济的合约,涉及代币的发行、流通、治理等多个方面,同时遵循Solidity的编程规范和最佳实践,确保合约的安全性和可靠性。学习和理解这部分内容...
titoken:带有新令牌Titoken的Solidity Playground
03-22
Titoken项目为学习和实践Solidity提供了一个很好的平台,通过这个实例,开发者可以深入理解如何在以太坊上创建、管理和交互自定义的加密货币。同时,这也是探索智能合约更复杂功能和应用场景的良好起点。
20mOPToken被盗漏洞恢复现_Solidity_JavaScript_下载.zip
04-04
标题中的“20mOPToken被盗漏洞恢复现_Solidity_JavaScript_下载.zip”表明这是一个关于加密货币项目,特别是20 million OP Tokens(可能是某个区块链项目的代币)被盗的事件,涉及到SolidityJavaScript两种编程...
Solidity介绍
热门推荐
huangyx123456的博客
03-30 1万+
  Solidity的官网:http://solidity.readthedocs.io/en/develop/ Solidity 是一个面向合约的高级语言,其语法类似于JavaScript 。是运行在以太坊虚拟机中的代码。 Solidity 是静态类型的编程语言,编译期间会检查其数据类型。支持继承、类和复杂的用户定义类型。 在线体验: https://remix.ethereum.org ,...
智能合约逆向心法1(案例篇)——34C3_CTF题目分析
Fly_鹏程万里
11-23 1876
前言 最近笔者想研究了一下智能合约逆向,顺便入门一下逆向的知识,因此打算边学边写,不足之处请多指正欢迎大家一起交流。本篇我们就从一个题目开始。 题目 题目地址 : https://archive.aachen.ccc.de/34c3ctf.ccc.ac/challenges/index.html chaingang send 1505 szabo 457282 babbage 6...
智能合约逆向初探
Fly_鹏程万里
12-17 1649
前言 说起以太坊的智能合约,因为区块链上所有的数据都是公开透明的,所以合约的代码也都是公开的。但是其实它公开的都是经过编译的OPCODE,真正的源代码公开与否就得看发布合约的人了。如果要真正的掌握一个合约会干什么,就得从OPCODE逆向solidity代码。下面进行练手和实战,实战的是今年PHDays安全会议的比赛里的一道题。 在etherscan上看到的合约的代码示例: 工欲善其事,...
solidity常见漏洞!学习并规避它
最新发布
weixin_74163644的博客
06-03 2031
因为签名这笔交易的地址为 Alice 的 EOA 地址,所以对于 Wallet 合约来说 tx.origin 就是 Alice 的 EOA 地址,所以 Eve 成功利用钓鱼伪造了 Alice 的身份,通过了权限检查并成功将 Wallet 合约中的以太转移到了自己的账户中。在Polygon上,重组的深度可以达到30个或更多的区块,所以等待更少的区块会使应用变得脆弱(当zk-evm成为Polygon上的标准共识时,这种情况可能会改变,因为最终性将与以太坊的一致,但这是未来的预测,而不是目前的事实)。
solidity 特性导致的漏洞
SHELLCODE_8BIT的博客
12-14 1501
由于合约设置参与者每次提交的 Ether 数为 0.5,提交多次后就会达到10 Ether,因此攻击者就可以创建带有 selfdestruct() 函数的合约,通过 selfdestruct() 函数强制给它提供 0.1 Ether,当强制转入的 0.1 Ether 进入条件判断,最终的计算数值将永远不会成为整数,this.balance==finalMileStone 判断将永远不会成立,导致参与者永远不会获得奖励。浮点型,定长浮点型——Solidity目前暂时不支持浮点型,也不完全支持定长浮点型。
智能合约随想——一些简单的Solidity智能合约漏洞/攻击
weixin_73794026的博客
04-25 1047
一个没啥干货的Solidity智能合约审计随想,外加一些杂七杂八的知识,大佬们轻点喷QAQ
Solidity 合约安全,常见漏洞 (上篇)
08-23 2100
这个智能合约安全系列提供了一个广泛的列表,列出了在 Solidity 智能合约中容易反复出现的问题和漏洞Solidity 中的安全问题可以归结为智能合约的行为方式不符合它们的意图。我们不可能对所有可能出错的事情做一个全面的列表。然而,正如传统的软件工程有常见的漏洞主题,如 SQL 注入、缓冲区超限和跨网站脚本,智能合约中也有反复出现的。
solidity编写智能合约的安全漏洞问题(一)
Messi-Q Blog
08-24 1938
回顾 3 个底层调用 call(), delegatecall(), callcode() 和 3 个转币函数 call.value()(), send(), transfer(): - call() call() 用于 Solidity 进行外部调用,例如调用外部合约函数 &lt;address&gt;.call(bytes4(keccak("somefunc(params)"), para...
solidity编写智能合约的安全漏洞问题(二)
Messi-Q Blog
08-30 3663
智能合约是“不可变的”。一旦部署,它们的代码是不能更改的,导致无法修复任何发现的bug。 在潜在的未来里,整个组织都由智能合约代码管控,对于适当的安全性需求巨大。过去的黑客如TheDAO或去年的Parity黑客(7月、11月)提高了开发者们的警惕,还有很长的路要走。 常见的 Solidity漏洞类型: Reentrancy - 重入 Access Control - 访问控制 Ari...
Solidity安全:已知漏洞与防御策略详解
"这篇文章主要探讨了在Solidity编程语言中常见的智能合约安全漏洞以及相应的预防措施,涵盖了多种类型的攻击和防御策略。以下是针对每个漏洞的详细说明和预防技术: 1. 重入漏洞:攻击者利用回退函数迫使合约无限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值