智能合约漏洞——时间戳依赖(Timestamp Dependence)

最新推荐文章于 2024-09-13 17:39:58 发布
最新推荐文章于 2024-09-13 17:39:58 发布
阅读量51 收藏
点赞数
分类专栏: 智能合约漏洞 文章标签: 智能合约 区块链 安全
原文链接:https://etherscan.io/chart/blocktime
版权

时间戳依赖(Timestamp Dependence)

  注意,在权益证明合并后,此漏洞不再影响以太坊主网。

  当使用时间戳执行合约中的关键功能,特别是当操作涉及资金转移时,有三个主要考虑的因素。

1、时间戳操纵(Timestamp Manipulation)

  区块的时间戳可以被矿工操纵,考虑下面的合约:

    uint256 constant private salt = block.timestamp;

    function random(uint Max) constant private returns (uint256 result) {
        //get the best seed for randomness
        uint256 x = salt * 100/Max;
        uint256 y = salt * block.number/(salt % 5);
        uint256 seed = block.number/3 + (salt % 300 ) + Last_Payout + y;
        uint256 h = uint256(block.blockhash(seed));

        return uint256((h / x)) % Max + 1;//random number between 1 and Max
    }

  如果使用时间戳试图生成随机数,矿工可以在区块验证后15秒内发布时间戳,使他们能够将时间戳设置为一个值,从而增加他们从该函数中获益的几率。例如,彩票应用程序可以使用块时间戳从一组人选中随机挑选竞标者。矿工可以进入彩票程序,然后将时间戳修改为一个值,使他们更有可能赢得彩票。因此时间戳不应该被用于创造随机性。

2、15秒规则(The 15-second Rule)

  以太坊的参考规范“黄皮书”(the Yellow Paper)并没有规定区块随时间变化的限制,它只需要比父节点的时间戳大。也就是说,流行的协议将来会拒绝时间戳大于15秒的区块,因此只要您的时间相关事件可以安全地变化15秒以上,那么使用块时间戳是安全的。

3、不要使用block.number作为时间戳

  可以使用block.number来估计事件之间的时间差和平均区块时间(average block time),但是区块时间可能会改变并破坏函数功能,因此最好避免使用这种方法。

势必 挖到漏洞
关注
专栏目录
智能合约漏洞攻击事件_智能合约百科全书攻击漏洞
weixin_26747751的博客
09-14 6219
智能合约漏洞攻击事件Applications on Ethereum manage financial value, making security absolutely crucial. As a nascent, experimental technology, smart contracts have certainly had their fair share of attacks. 以太...
论文阅读笔记《An Overview of Smart Contract: Architecture, Applications, and Future Trends》
qq_32953791的博客
02-16 821
题目:An Overview of Smart Contract: Architecture, Applications, and Future Trends 关键词: smart contract 摘要: 智能合约在金融服务、预测市场、IoT(Internet of Things物联网)等领域存在广泛应用的同时,还存在安全和隐私等问题。本文全面介绍区块链支持的智能合约。 系统地介绍了智能合约的...
结合GNN和专家知识检测智能合约漏洞
m0_56222998的博客
03-13 2441
翻译自Combining Graph Neural Networks with Expert Knowledge for Smart Contract Vulnerability Detection
区块链论文7(oyente智能合约漏洞检测工具)
XingFuXiaoAi520的博客
06-12 7509
Making Smart Contracts Smarter 文章路径 Abstract: Cryptocurrencies record transactions in a decentralized data structure called a blockchain. Two of the most popular cryptocurrencies, Bitcoin and Ethereum, support the feature to encode rules or scripts for
Mythril 以太坊智能合约安全分析与检测工具详解(一)
StevenX5
04-18 4844
Mythril是以太坊EVM字节码的安全分析工具,它使用符号执行、SMT方案来分析检测智能合约代码中的各种安全漏洞。本篇介绍了 Mythril 智能合约安全分析工具及其安装指南,并通过一个合约实例演示了该工具对 Solidity 合约源代码的检测命令及检测分析结果。
智能合约的常见漏洞
weixin_33862188的博客
09-25 2579
目录: 1. 重入(Reentrancy) [1, 2, 3] 2. Call to the unknown [1] 3. Gasless send [1, 3] 4. Exception disorder/Mishandled Exceptions [1, 2, 3] 5. Type casts [1] 6. Keeping secrets [1] 7. Ether lost in trans...
智能合约攻击和漏洞百科全书 Vulnerabilities----starting this section
ljh1528207303的博客
05-30 583
在 Solidity 中,您可以使用低级调用,例如 address.call()、address.callcode()、address.delegatecall() 和 address.send(),也可以使用合约调用,例如 ExternalContract.doSomething( ). 低级调用永远不会抛出异常——相反,如果遇到异常,它们将返回 false,而合约调用将自动抛出。非正式地说,assert() 是一个过于自信的保镖,它保护你的合约,但在这个过程中偷走了你的汽油。然而,事实并非如此。
关于以太坊智能合约在项目实战过程中的设计及经验总结(2)
网易数帆社区博客
12-07 544
此文已由作者苏州授权网易云社区发布。欢迎访问网易云社区,了解更多网易技术产品运营经验7.智能合约经验分享1)智能合约开发的工具的问题古人云“工欲善其事必先利其器”,同意良好的智能合约的开发工具对智能合约的开发效率有极大的提升。以下是一些比较好的智能合约的开发组合: Remix+Ganache/testrpc:Remix为合约编辑工具,还能自动生成可视化调用入口;Ganache合约的模拟环境,能可视...
2021_AAAI_Knowledge-aware Coupled Graph Neural Network for Social Recommendation
weixin_46645827的博客
01-23 1798
[论文阅读笔记]2021_AAAI_Knowledge-aware Coupled Graph Neural Network for Social Recommendation 论文下载地址: chrome-extension://ibllepbpahcoppkjjllbabhnigcbffpi/https://ojs.aaai.org/index.php/AAAI/article/download/16533/16340 发表期刊:AAAI Publish time: 2021 作者及单位: Chao
图形神经网络与专家知识相结合的智能合约漏洞检测_Combining Graph Neural Networks with Exp
01-24
结果显示,对于三种类型的漏洞——重入(Reentrancy)、时间戳依赖Timestamp Dependence)和无限循环(Infinite Loop),该方法的检测精度分别达到了89.15%、89.02%和83.21%,显著优于现有的最佳方法。 这项工作...
风能matlab仿真_风能产量预测—深度学习项目
weixin_26746401的博客
09-17 2310
风能matlab仿真DL DATATHON- AI4Impact DL DATATHON- AI4影响 Published by Team AI Traders — Suyash Lohia, Nguyen Khoi Phan, Nikunj Taneja, Naman Agarwal and Mihir Gupta AI交易员团队发布 -Suyash Lohia,Nguyen Khoi Pha...
【加密社】深入理解TON智能合约 (FunC语法)
加密社的博客
09-13 941
在FunC语言中,字典是一种键值对的数据结构,用于存储和检索数据。这里,我们创建了一个名为sdict的空字典。在FunC语言中,列表用于存储一系列元素。这里,我们创建了一个名为l的空列表。通过分析这段TON智能合约代码,我们学习了dict和list在FunC语言中的用法,以及如何在实际场景中实现高效的验证者选举。掌握这些数据结构的操作,对于编写高效的TON智能合约具有重要意义。希望本文能为读者在FunC语言编程之路上提供有益的参考。
智能合约系统DAPP开发
I592O929783的博客
09-08 730
智能合约系统DAPP(去中心化应用)的开发是一个复杂且综合性的过程,它结合了区块链技术、智能合约编程、前端开发以及安全性等多方面的知识和技能。区块链平台:根据项目需求和团队熟悉度,选择适合的区块链平台,如以太坊、EOS、Polkadot等。开发工具:选择合适的开发框架和工具,如Truffle、Hardhat等,这些工具可以帮助开发者更高效地编写、测试和部署智能合约。设计智能合约:明确智能合约的数据结构、状态变量、函数、事件和修饰符等。明确应用场景:首先,需要明确DAPP的应用场景,如金融、游戏、社交等。
如何通俗易懂的解释TON的智能合约
zhuqiyua的博客
09-09 1385
在TON区块链中,如果某个分片链的交易量过大,可以将其分割成更小的分片链,以减轻单个分片的负担。这个比喻中的“中心邮局”对应于英文中的“Masterchain”,它是TON区块链中的一个特殊链,用于同步所有分片链的状态,并确保整个系统能够达成共识。每个智能合约都是一个独立的演员,它们在TON的舞台上演绎着自己的故事,通过消息传递与其他演员互动,共同构建了一个复杂而有序的区块链世界。随着戏剧节的进行,信件的数量越来越多,为了避免信件处理的混乱,小镇的智者决定将广场分成几个区域,每个区域都有自己的信箱管理人。
如何使用智能合约铸造 NFT —— 以 NftMarket 合约为例
Huahua_1223的博客
09-10 1752
NFT 的铸造是将独一无二的数字资产记录在区块链上的过程。本文将通过一个简单的智能合约示例,带你了解如何在以太坊上铸造 NFT,并解释为什么这些 NFT 即便没有被上架,也能在平台(如 OpenSea)上看到。通过本文,我们详细介绍了NFT铸造的过程,并探讨了将铸造和上架分开的重要性。文章从基础概念入手,讲解了NFT的创建流程,特别是在以太坊网络上如何通过智能合约实现安全、透明的铸造。
区块链之变:揭秘Web3对互联网的改变
最新发布
weixin_44672358的博客
09-13 462
区块链游戏作为Web3时代的重要创新,正逐步改变数字文化娱乐的格局。通过去中心化、透明性和自主控制权,玩家获得了前所未有的自由度和参与感。
[Day 74] 區塊鏈與人工智能的聯動應用:理論、技術與實踐
2401_83208854的博客
09-10 700
智慧城市旨在利用現代科技提升城市管理、公共服務以及生活質量,隨著物聯網(IoT)、大數據與人工智能的發展,區塊鏈技術在智慧城市中的潛力越來越被重視。區塊鏈以其去中心化、安全、透明的特性,可以有效提升智慧城市的數據管理、安全性和可追溯性。本篇文章將探討區塊鏈在智慧城市中的具體應用,並且提供代碼範例,詳細解釋每個代碼的作用。區塊鏈是一種分佈式賬本技術(DLT),能夠通過多方參與者在去中心化的網絡中協作,實現數據的安全共享與記錄。每個區塊包含多筆交易,並通過加密方式與前後區塊連接,形成一個安全且難以篡改的數據鏈。
以太坊开发环境
禅与代码的艺术
09-07 1404
详细讨论了以太坊测试网络和私有网络。在初步介绍了私有网络设置之后,演示了如何使用 Geth 命令行工具执行各种功能,以及如何与以太坊区块链进行交互。还讨论了如何使用 Mist 来部署合约和发送交易。
oracle把unix时间戳timestamp
06-06
你可以使用Oracle的TO_TIMESTAMP函数将Unix时间戳转换为时间戳数据类型。Unix时间戳是从1970年1月1日0时0分0秒(UTC)开始的秒数。以下是一个示例: ``` SELECT TO_TIMESTAMP('1629329600', 'SSSSS') FROM DUAL; ``` 其中,'1629329600'是Unix时间戳,'SSSSS'是时间戳格式模型。这将返回一个时间戳数据类型,表示Unix时间戳对应的日期和时间。你可以根据需要调整格式模型以满足你的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值