智能合约漏洞——未检查返回值(Unchecked Return Values)

于 2024-09-14 09:12:31 发布
阅读量3 收藏
点赞数
分类专栏: 智能合约漏洞 文章标签: 智能合约 区块链 安全
原文链接:https://github.com/kadenzipfel/smart-contract-vulnerabilities?tab=readme-ov-file
版权

未检查返回值(Unchecked Return Values)

  这类漏洞背后的主要原因是无法正确处理外部函数调用的返回值,这可能产生严重的后果,包括资产损失和合约逻辑的意外行为。

  在solidity中,开发者可能通过.send()、.call()、.transfer()来执行外部调用。

  .call()没有gas限制,最为灵活,是最提倡的方法;.transfer()有2300gas限制,但是发送失败会自动revert交易,是次优选择;.send()有2300gas限制,而且发送失败不会自动revert交易,几乎没人使用。

  每种方法在发生异常处理时会有不同的行为。.call()和.send()在调用成功或失败是会返回一个bool值,所以这两种方法执行失败后不会revert,而是返回bool值false。

  这样当没有检查返回值是,会出现一个常见的陷阱,因为开发人员希望失败是自动revert交易,但实际并没有。比如如果一个合约使用.send()而没有检查返回值,调用失败后仍会执行交易,这样会导致意想不到的行为。合约如下所示:

/// INSECURE
//奖金发放
contract Lotto {
    bool public paidOut = false;   //用来跟踪奖金是否发放
    address payable public winner;  //接收奖金的地址
    uint256 public winAmount;   //赢家应获得的金额

    /// extra functionality here
    //将奖金发送给赢家
    function sendToWinner() public {
        require(!paidOut, "Lotto: Already Paid Out");   //确保奖金没有被重复发放
        winner.send(winAmount);   
        paidOut = true;
    }

    //在奖金发放后提取合约中剩余的ETH
    function withdrawLeftOver() public {
        require(paidOut, "Lotto: Not Paid Out Yet");
        // Assuming the caller is authorized to withdraw, e.g., contract owner
        payable(msg.sender).transfer(address(this).balance);
    }
}

上述合约是一个奖金发放合约,获胜者获得'winAmount'ETH,在奖金发放后提取合约中剩余的ETH。这里存在一个bug,.send()被使用但是没有检查返回值。

  在这个例子中,如果winner的交易失败,'paidOut'仍会被设置为'true'。因此,在这种情况下,任何人都可以使用withdrawLeftOver()函数提取赢家的奖金。

预防技术:

  为了减轻这个漏洞,开发人员应该始终检查对外部合约的任何调用的返回值,可以使用'require'函数来检查。

势必 挖到漏洞
关注
专栏目录
智能合约漏洞攻击事件_智能合约百科全书攻击漏洞
weixin_26747751的博客
09-14 6219
智能合约漏洞攻击事件Applications on Ethereum manage financial value, making security absolutely crucial. As a nascent, experimental technology, smart contracts have certainly had their fair share of attacks. 以太...
最全整理|智能合约审计工具检测内容有哪些?
JinxMow的博客
12-05 4098
目前,出现了多种智能合约审计工具,笔者整理了最常见的检测内容,可分为五大项、二十七小项。下面按分类对已有结果进行说明。 1、代码规范检测 此大项主要针对合约编写时的一些代码规范进行检测,共有十一小项。 1.1 ERC规范 包含了ETH常见的ERC20、ERC721、ERC1400、ERC1404、ERC223、ERC777等常见的合约标准检测,确保了开发人员能正确实现这些标准。 1.2 Trans...
solidity编写智能合约安全漏洞问题(二)
Messi-Q Blog
08-30 3648
智能合约是“不可变的”。一旦部署,它们的代码是不能更改的,导致无法修复任何发现的bug。 在潜在的来里,整个组织都由智能合约代码管控,对于适当的安全性需求巨大。过去的黑客如TheDAO或去年的Parity黑客(7月、11月)提高了开发者们的警惕,还有很长的路要走。 常见的 Solidity 的漏洞类型: Reentrancy - 重入 Access Control - 访问控制 Ari...
以太坊智能合约安全入门了解一下(上)
omnispace的博客
05-29 845
作者:RickGray作者博客:http://rickgray.me/2018/05/17/ethereum-smart-contracts-vulnerabilites-review/(注:本文分上/下两部分完成,下篇链接《以太坊智能合约安全入门了解一下(下)》)最近区块链漏洞不要太火,什么交易所用户被钓鱼导致 APIKEY 泄漏,代币合约出现整数溢出漏洞致使代币归零, MyEtherWalle...
[区块链安全-Damn_Vulnerable_DeFi]区块链DeFi智能合约安全实战(V3.0.0)(已完结)
Young
04-16 1494
Damn Vulnerable DeFi : 区块链智能合约安全CTF系列教程
NFT合约分析:ERC721A
WongSSH的博客
02-06 2195
本文主要介绍标准NFT实现的一个变体,即ERC721A合约实现的相关细节。ERC721A是由著名NFT系列Azuki提出,该系列NFT是著名的蓝筹NFT。本文主要聚焦于Azuki提出的ERC721A合约的代码细节分析。与传统的ERC721实现相比,ERC721A在批量铸造(batch mint)方面具有显著的gas优势,这得益于ERC721A的惰性初始化方面的设计。关于ERC721A与普通ERC721实现的对比,我们将会在下文展开说明。本文要求读者具有基础的solidity知识,希望读者对标准。
Spring源码——JDBC
等一杯咖啡的博客
10-27 1774
前言 内容主要参考自《Spring源码深度解析》一书,算是读书笔记或是原书的补充。进入正文后可能会引来各种不适,毕竟阅读源码是件极其痛苦的事情。 本文主要涉及书中第八章的部分,依照书中内容以及个人理解对Spring源码进行了注释,详见Github仓库:https://github.com/MrSorrow/spring-framework 本章内容基于之前所说的Spring IOC 和 AOP功能...
Spring源码——Spring MVC
等一杯咖啡的博客
11-22 1612
前言 内容主要参考自《Spring源码深度解析》一书,算是读书笔记或是原书的补充。进入正文后可能会引来各种不适,毕竟阅读源码是件极其痛苦的事情。 本文主要涉及书中第十一章的部分,依照书中内容以及个人理解对Spring源码进行了注释,详见Github仓库:https://github.com/MrSorrow/spring-framework Spring框架提供了构建Web应用程序的全功能MVC模...
【加密社】深入理解TON智能合约 (FunC语法)
加密社的博客
09-13 945
在FunC语言中,字典是一种键值对的数据结构,用于存储和检索数据。这里,我们创建了一个名为sdict的空字典。在FunC语言中,列表用于存储一系列元素。这里,我们创建了一个名为l的空列表。通过分析这段TON智能合约代码,我们学习了dict和list在FunC语言中的用法,以及如何在实际场景中实现高效的验证者选举。掌握这些数据结构的操作,对于编写高效的TON智能合约具有重要意义。希望本文能为读者在FunC语言编程之路上提供有益的参考。
智能合约系统DAPP开发
I592O929783的博客
09-08 733
智能合约系统DAPP(去中心化应用)的开发是一个复杂且综合性的过程,它结合了区块链技术、智能合约编程、前端开发以及安全性等多方面的知识和技能。区块链平台:根据项目需求和团队熟悉度,选择适合的区块链平台,如以太坊、EOS、Polkadot等。开发工具:选择合适的开发框架和工具,如Truffle、Hardhat等,这些工具可以帮助开发者更高效地编写、测试和部署智能合约。设计智能合约:明确智能合约的数据结构、状态变量、函数、事件和修饰符等。明确应用场景:首先,需要明确DAPP的应用场景,如金融、游戏、社交等。
如何通俗易懂的解释TON的智能合约
zhuqiyua的博客
09-09 1386
在TON区块链中,如果某个分片链的交易量过大,可以将其分割成更小的分片链,以减轻单个分片的负担。这个比喻中的“中心邮局”对应于英文中的“Masterchain”,它是TON区块链中的一个特殊链,用于同步所有分片链的状态,并确保整个系统能够达成共识。每个智能合约都是一个独立的演员,它们在TON的舞台上演绎着自己的故事,通过消息传递与其他演员互动,共同构建了一个复杂而有序的区块链世界。随着戏剧节的进行,信件的数量越来越多,为了避免信件处理的混乱,小镇的智者决定将广场分成几个区域,每个区域都有自己的信箱管理人。
如何使用智能合约铸造 NFT —— 以 NftMarket 合约为例
Huahua_1223的博客
09-10 1758
NFT 的铸造是将独一无二的数字资产记录在区块链上的过程。本文将通过一个简单的智能合约示例,带你了解如何在以太坊上铸造 NFT,并解释为什么这些 NFT 即便没有被上架,也能在平台(如 OpenSea)上看到。通过本文,我们详细介绍了NFT铸造的过程,并探讨了将铸造和上架分开的重要性。文章从基础概念入手,讲解了NFT的创建流程,特别是在以太坊网络上如何通过智能合约实现安全、透明的铸造。
区块链之变:揭秘Web3对互联网的改变
最新发布
weixin_44672358的博客
09-13 470
区块链游戏作为Web3时代的重要创新,正逐步改变数字文化娱乐的格局。通过去中心化、透明性和自主控制权,玩家获得了前所有的自由度和参与感。
[Day 74] 區塊鏈與人工智能的聯動應用:理論、技術與實踐
2401_83208854的博客
09-10 700
智慧城市旨在利用現代科技提升城市管理、公共服務以及生活質量,隨著物聯網(IoT)、大數據與人工智能的發展,區塊鏈技術在智慧城市中的潛力越來越被重視。區塊鏈以其去中心化、安全、透明的特性,可以有效提升智慧城市的數據管理、安全性和可追溯性。本篇文章將探討區塊鏈在智慧城市中的具體應用,並且提供代碼範例,詳細解釋每個代碼的作用。區塊鏈是一種分佈式賬本技術(DLT),能夠通過多方參與者在去中心化的網絡中協作,實現數據的安全共享與記錄。每個區塊包含多筆交易,並通過加密方式與前後區塊連接,形成一個安全且難以篡改的數據鏈。
以太坊开发环境
禅与代码的艺术
09-07 1405
详细讨论了以太坊测试网络和私有网络。在初步介绍了私有网络设置之后,演示了如何使用 Geth 命令行工具执行各种功能,以及如何与以太坊区块链进行交互。还讨论了如何使用 Mist 来部署合约和发送交易。
区块链 + 人才服务】区块链职业技能竞赛平台 | FISCO BCOS应用案例
FISCO_BCOS的博客
09-09 509
区块链职业技能竞赛平台基于 FISCO BCOS 联盟链提供了可靠、安全、高效的区块链服务,带来多方面的成效与意义。
什么是场外个股期权?场外个股期权怎么参与交易?
qiquandongfc的博客
09-09 319
场外个股期权是一种在开放市场上,由交易双方直接协商进行的期权交易,具有高度的定制化和灵活性,但也伴随较高的交易对手风险和流动性风险。场外个股期权是指在场外交易市场(OTC,不通过集中交易所)进行买卖的个股期权。这类期权的交易通常是由金融机构和投资者直接协商、定制的,因此具有较大的灵活性和定制化特点。”的全部内容,希望本文能给您带来帮助,在来市场交易中收获满满,财源广进!由于不是通过集中交易所交易,存在交易对手违约的风险。可以设计复杂的策略和结构,满足特定的投资或对冲需求,比如定制各种复合期权策略。
区块链学习笔记2--区块链技术的形成 以太坊
weixin_61074128的博客
09-10 349
以太坊的定义:以太坊是运行在一个计算机网络中的软件,他确保数据以及智能合约的小程序可以在没有宗信协调者的情况下,被所有网络中的计算机复制和处理。以太坊的改进: 交易速度加快;pow+pos算法,逐步向pos算法过渡;智能合约:不受人为因素影响,没有黑幕;比特币的出现让经济贸易变得简单,而比特币系统的不足,也同样被人诟病。于是出现了致力解决比特币不足的“V神”。以太坊的愿景是创建一个无法停止,抗屏蔽(审查)和自我维持的去中心化世界计算机。比特币的不足:交易速度慢;仅仅完成了货币的去中心化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值