这些智能合约漏洞,可能会影响你的账户安全!

最新推荐文章于 2023-09-27 11:05:47 发布
最新推荐文章于 2023-09-27 11:05:47 发布
阅读量195 收藏 1
点赞数
文章标签: 智能合约 安全 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/passersb/article/details/126631840
版权

【摘要】 区块链联盟链智能合约形式化验证揭秘,解释了我们为什么要对区块链上的智能合约进行形式化验证,以及形式化验证的分类和业界针对每种分类所推出的形式化验证工具,最后作者描述了一下目前形式华验证的种种方法所面临的问题及对于这个领域技术发展的展望。

什么是形式化验证?

维基百科对形式化验证的解释是这样的: 在计算机硬件(特别是集成电路)和软件系统的设计过程中,形式化验证的含义是根据某个或某些形式化规范或属性,使用数学的方法证明其正确性或非正确性。传统上在硬件设计领域比较常用。主要原因就是硬件设计周期长,成本高,一旦生产出来就很难改动了。例如一个 CPU 设计如果已经出芯片了,那么出了问题就是大事。形式验证可以分为三大类:抽象解释(Abstract Interpretation)、形式模型检查(Formal Model Checking,也被称作特性检查)和定理证明(Theory Prover)。

区块链智能合约为什么需要形式化验证?

在区块链系统中可以编程且自动运行的程序被称为智能合约。智能合约最早在以太坊区块链平台上应用,如Solidity就是一种智能合约编程语言,以使传统应用程序开发人员能够编写智能合约。初期会Solidity语言的全球只有几百人,后来随着以太坊与区块链的火热,参与Solidity智能合约的人才开始逐渐增加,但是跟整个IT市场的从业人群比起来,会编写智能合约的人还是太少,大量的IT从业者要想开发智能合约只能去学习Solidity。为了让更多的 IT从业者可以参与智能合约的编写与业务规则的实现,智能合约平台在原有Solidity的基础上扩展了对更多主流语言,甚至高级语言的支持,这样可以让多普通It从业人员也有了可以进行智能合约编写的可能性,大量熟悉Java、Go、Php等技术编程的开发人员都可以参与智能合约的开发。

然而,由于区块链交易是不可变的,智能合约代码中的错误会产生毁灭性的后果,破坏了对底层区块链技术的信任。例如,臭名昭著的TheDAO漏洞导致价值近6000万美元的以太损失,奇偶校验钱包漏洞导致价值1.69亿美元的以太永远被锁定。解决这些事件的唯一补救办法是硬分叉区块链,并将其中一个分叉恢复到事件发生前的状态。然而,这种补救办法本身是毁灭性的,因为它摧毁了区块链的核心价值,如不可变性和分散信任。但是智能合约的编写目的是为了行业应用,一旦应用到实际中必须考虑智能合约的安全性,智能合约要达到机器可信,就必须首先排除掉因人为因素而造成的智能合约破坏情形。智能合约形式化

最低0.47元/天 解锁文章
passersb
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
区块链智能合约安全开发.pdf
08-08
智能合约安全开发 相关概念 安全事件 审计之路 常见漏洞 常用工具
Mythril自动化测试智能合约并进行分类存储
qq_45138078的博客
10-18 3061
本文讲解了如何下载安装docker和Mythril,并介绍了mythril的使用以及如何自动化检测智能合约的样本并对其进行分类存储
Laravel中Contracts的理解和使用
VVVinegar的博客
04-25 5354
这两天详细的学习了下lavarel中contracts和facades这两部分内容。这一篇就先谈谈对contracts的理解和用法。Laravel 的 Contracts 是一组定义了框架核心服务的接口。说白了就是一组接口。使用它就是为了降低耦合性。即便如此,是不是也有同学搞不清楚Contracts在lavarel体系中的到底在一个什么样的位置?下面上一张自制的图,也许有地方不对,但是初学的同学可
区块链论文7(oyente智能合约漏洞检测工具)
XingFuXiaoAi520的博客
06-12 7332
Making Smart Contracts Smarter 文章路径 Abstract: Cryptocurrencies record transactions in a decentralized data structure called a blockchain. Two of the most popular cryptocurrencies, Bitcoin and Ethereum, support the feature to encode rules or scripts for
智能合约常见10个漏洞
sinat_34996559的博客
01-03 2326
1. Reentrancy also known as or related torace to empty,recursive call vulnerability,call to the unknown This exploit was missed in review so many times by so many different people: reviewers tend to review functions one at a time, and assume that call...
智能合约安全综述.docx
05-29
智能合约安全综述.docx
以太坊智能合约示例与漏洞分析——竞拍合约
01-08
智能合约定义成员变量、event等,构造函数初始化受益人、拍卖结束时间,如下所示: 出价的函数如下,标注payable说明函数可以接收转账,require(now <= auctionEnd)检查拍卖是否结束,如果已经结束就抛出异常,...
[信息安全]深入理解智能合约漏洞.zip
11-05
[信息安全]深入理解智能合约漏洞 Linux 等级保护 信息安全 安全管理 防火墙
深入理解智能合约漏洞.pdf
09-11
深入理解智能合约漏洞 红蓝对抗 安全对抗 应用安全 数据安全与治理 工控安全
M-A-R:智能合约重入漏洞的动态符号执行检测
03-05
MAR 智能合约重入漏洞的动态符号执行检测
Making Smart Contracts Smarter.pdf
08-29
本文研究了在类似于加密货币的开放分布式网络中运行Ethereum智能合约安全性。我们引入了几个新的安全问题,在这些问题中,对手可以通过巧妙地执行合约来获取利润。这些bug表明,在理解底层平台的分布式语义方面存在细微的差异。作为一种改进,我们提出了增强Ethereum操作语义的方法,使合约不那么脆弱。对于为现有Ethereum系统编写契约的开发人员,构建了一个名为Oyente的符号执行工具,以发现潜在的安全bug。讨论了几个具有源代码的案例研究的攻击严重性,并在主要的Ethereum网络中确认了攻击。
manticore:符号执行工具
02-05
Manticore Manticore是用于分析智能合约和二进制文件的符号执行工具。 产品特点 程序探索:Manticore可以执行带有符号输入的程序,并探索其可能达到的所有状态 输入生成:Manticore可以自动产生具体输入,从而产生给定的程序状态 错误发现:Manticore可以检测二进制文件和智能合约中的崩溃和其他故障情况 工具:Manticore通过事件回调和指令挂钩提供对状态探索的细粒度控制 程序接口:Manticore通过Python API公开对其分析引擎的程序访问 Manticore可以分析以下类型的程序: 以太坊智能合约(EVM字节码) Linux ELF二进制文件(
智能合约漏洞,2023 年 Web3 中最常见的 10 个漏洞
09-08 441
浮点运算和舍入误差处理不当可能导致财务差异或合约逻辑被利用。精确处理数值运算,在适用的情况下使用定点算术,对于避免此类漏洞至关重要。通常,这些漏洞可能出现在无需许可的兑换协议中,其中非标准小数位数(decimal)值可能带来不可预见的后果。重入攻击在以太坊中有着悠久的历史,是造成 The DAO Hack 的漏洞类别,DAO Hack 是 2016 年早期以太坊网络上最大的攻击之一。重入允许攻击者在上一次调用完成之前重复调用易受攻击的合约,从而导致意外的情况发生。状态变化和未经授权的资金转移。
论文阅读:Making Smart Contracts Smarter
小水的博客
04-11 1245
阅读目标 对目前智能合约安全问题有全面的认识。 回顾区块链智能合约相关的基础概念。 思考智能合约安全问题以及未来的展望。 文章结构概览 概要 介绍了加密货币以及智能合约的基本概念。 陈述了本文的目标是探索以太坊上智能合约运行的安全性,并推广到其他的加密货币。 简要介绍了他们的工作,包括: 提出了方法提升目前以太坊的安全性,使得智能合约不容易被攻击。 制作了一个工具OYENTE可以找到潜在的安全问题。 介绍了TheDAO漏洞 1. 介绍 简要介绍了分布式加密货币和智能合约的概念。 介绍了
智能合约经典漏洞案例,xSurge 重入漏洞+套利 综合运用
最新发布
09-27 1933
再看下漏洞存在的 sell 方法中的关键代码,sell 方法有 nonReentrant 修饰符,存在对重入攻击的防范措施,所以在 sell 函数执行完之前,攻击者是无法再次进入到 sell 函数中的。在漏洞利用中,攻击者也没有利用漏洞再次进行 sell 函数,而是利用漏洞后进入 purchase 函数。本次合约代码中存在的漏洞利用与传统的重入攻击有些区别。
智能合约漏洞篇:常见漏洞介绍及整数溢出漏洞分析
Reveone的博客
09-16 857
智能合约是运行在区块链上的自动执行代码。由于它们的不可逆性和与金钱相关的特性,智能合约安全问题受到了广泛关注。整数溢出与下溢:当整数变量的值超出其允许的范围时,可能发生溢出或下溢,导致不可预测的结果。重入攻击:在一个函数调用中,被调用的合约再次调用原函数,可能导致不希望的多次执行。例如,著名的DAO攻击就是重入攻击的一种。短时间浮动:在区块链上,时间和块高度可以被操纵。攻击者可以利用这点,通过挖矿操作来操纵合约的时间逻辑。随机性问题:在以太坊等区块链平台上,产生随机数是有挑战的,因为所有信息都是公开的。
智能合约的常见漏洞
weixin_33862188的博客
09-25 2511
目录: 1. 重入(Reentrancy) [1, 2, 3] 2. Call to the unknown [1] 3. Gasless send [1, 3] 4. Exception disorder/Mishandled Exceptions [1, 2, 3] 5. Type casts [1] 6. Keeping secrets [1] 7. Ether lost in trans...
智能合约之所以容易受到安全漏洞影响的原因
05-23
智能合约容易受到安全漏洞影响的原因有以下几点: 1. 代码难以修改:智能合约一旦发布,其代码就无法修改。这意味着一旦合约存在漏洞,攻击者可以一直利用该漏洞,而无法通过修改代码来解决问题。 2. 编程语言复杂:智能合约使用的编程语言通常比较复杂,例如Solidity,这使得开发人员容易犯错,例如不正确地处理输入数据、不正确地处理异常情况等。 3. 智能合约的逻辑复杂:智能合约通常涉及许多复杂的逻辑和条件,例如交易验证、访问控制、资金管理等。这些复杂的逻辑可能导致错误或安全漏洞。 4. 智能合约的缺陷难以发现:由于智能合约的复杂性和代码无法修改的特性,智能合约的缺陷往往难以发现。当安全漏洞被发现时,已经造成了损失。 5. 智能合约的交互性增加了风险:智能合约通常需要与其他合约、钱包和外部服务进行交互。这增加了智能合约受到攻击的风险,因为攻击者可能利用其他合约或服务的漏洞来攻击智能合约

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值