智能合约漏洞学习笔记(1):重入攻击

最新推荐文章于 2024-02-12 11:45:00 发布
最新推荐文章于 2024-02-12 11:45:00 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42943698/article/details/114375773
版权

前置知识

  • 回退函数(fallback function):每一个合约有且仅有一个没有名字的函数,无参数,无返回值
function() public payable{
	...
}

回退函数在以下几种情况中被执行:

  1. 调用合约时没有匹配到任何一个函数
  2. 没有传数据
  3. 智能合约收到以太币
    (为了接受以太币,fallback函数必须标记为payable)
  • 硬分叉:添加无法向下兼容的新规则,使得以太坊网络存在两条链:运行新规则的新链和运行旧规则的旧链

第一次硬分叉:调整了未来挖矿的难度,确保未来的用户会有转换至权益证明的动机。

第二次硬分叉:2016年春季发布了第一个稳定版本,称作“家园”(Homestead)。

第三次硬分叉:DAO和区块链分叉。

第四次硬分叉:减重和防DDoS2016年11月底进行了第四次的分叉。这次分叉为区块链减重(de-bloat),并加入一些避免网络攻击的设计。

漏洞介绍

重入是以太坊早期最著名、最危险的攻击方式,在2016年的The DAO事件中造成了以太坊硬分叉。

重入攻击本质上与编程的递归调用相似,攻击合约利用fallback函数可以使受攻击合约在任意位置重新执行,绕过原设计者的限制,从而完成一些不允许的行为。

简要来说,含有.call.value()函数的智能合约都具有重入漏洞

最低0.47元/天 解锁文章
-MANIA
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
智能合约之可重入攻击
u010304442的博客
04-04 2845
以太坊智能合约到现在,出现了不少由于合约代码不严谨,导致黑客利用合约代码漏洞进行攻击来获取暴利。接下来我为大家来介绍一下常见的合约漏洞类型,包含重入攻击,短地址攻击,数据溢出攻击,可预测随机数攻击,篡改实践攻击等。下面大家介绍一下重入攻击。 ...
区块链黑客第一讲:重入攻击
weixin_52628792的博客
10-29 1696
区块链骇客专栏第一章,智能合约安全审计必练!
合约安全:重入攻击
leah126的博客
02-12 961
重入攻击智能合约中最常见的一种攻击攻击者通过合约漏洞(例如fallback函数)循环调用合约,将合约中资产转走或铸造大量代币。
精通以太坊笔记(二)
Harmonic Trading的博客
11-09 1万+
以太币的单位 以太坊的货币单位为ether 以太币可以被拆分为更小的单元称为wei 值(以wei为单位) 指数 通俗名称 标准名称 1 1 wei wei 1 000 babbage kilowei 1 000 000 lovelace megawei 1 000 000 000 shannon gigwe...
《我学区块链》—— 三十五、智能合约收发 ETH 详解
xuguangyuansh的博客
10-30 1516
三十五、智能合约收发 ETH 详解 一、合约接收 ETH 使用合约接收 ETH,需要在智能合约中定义这个函数 function () payable public {},之后就可以接收ETH了。并在最终需要时调用selfdestruct(owner);杀死合约,取出合约中的所有 ETH 到 owner。 pragma solidity ^0.4.24; contract NetkillerCash...
ansible学习笔记二:playbook
01-07
ansible学习笔记二:playbook环境:测试ansible-playbook1. 测试一例:2. 在yml内增加tags及handlers3. 在yml内增加变量:3.1 方法1,外部通过-e去指定:3.2 方法2,内部指定:3.3 方法3,用setup模块里的变量:3.4 ...
STM32F103RCT6学习笔记1:点灯.rar
09-19
STM32F103RCT6学习笔记1:点灯.
人工智能学习笔记,人工智能学习笔记
10-17
人工智能学习笔记,人工智能学习笔记,人工智能学习笔记人工智能学习笔记,人工智能学习笔记,人工智能学习笔记人工智能学习笔记,人工智能学习笔记,人工智能学习笔记人工智能学习笔记,人工智能学习笔记,人工智能...
小猫爪:RT1050学习笔记配套资料1
11-27
小猫爪:i.MX RT1050学习笔记18-安全启动2-elftosb和MfgTool(sdphost,blhost)的使用
《人工智能》--笔记:人工智能.zip
最新发布
03-19
人工智能学习总结成果,希望可以帮到大家,有疑问欢迎随时沟通~ 人工智能学习总结成果,希望可以帮到大家,有疑问欢迎随时沟通~ 人工智能学习总结成果,希望可以帮到大家,有疑问欢迎随时沟通~ 人工智能学习总结...
Solidity - 安全 - 重入攻击(Reentrancy)
ling1998的博客
06-28 2235
首先简要说明下一个很有名的重入攻击事件,再模拟重入攻击。The DAO是分布式自治组织,2016年5月正式发布,该项目使用了由德国以太坊创业公司Slock.it编写的开源代码。2016年6月17上午,被攻击的消息开始在社交网站上出现,到6月18日黑客将超过360万个以太币转移到一个child DAO项目中,child DAO项目和The DAO有着一样的结构,当时以太币的价格从20美元降到了13美元。当时,一个所谓的”递归调用“攻击(现在称为重入攻击)名词随之出现,这种攻击可以被用来消耗一些智能合约账户。这
深入理解Solidity——回退函数
黄嘉成的博客
05-20 3554
回退函数(Fallback Function) 一个合约可以有一个匿名函数。此函数不能有参数,不能返回任何值。如果没有其他函数与给定的函数标识符匹配,或者如果根本没有提供数据,将执行一个合约的调用。 此外,每当合同接收没有数据的纯Ether时,会执行回退函数。此外,为了接收Ether,回退函数必须标记为payable。如果没有这样的函数,合约不能通过常规transactions接收Ether。...
根据例子学习Solidity-Solidity官方文档(3)
weixin_34334744的博客
04-06 273
写在前面:HiBlock区块链社区成立了翻译小组(以太坊中文社区),翻译区块链相关的技术文档及资料,本文为Solidity官方文档翻译的第三部分《根据例子学习Solidity》,特发布出来邀请solidity爱好者、开发者做公开的审校,您可以添加微信baobaotalk_com,验证输入“solidity”,然后将您的意见和建议发送给我们,也可以在文末“留言”区留言,有效的建议我们会采纳及合并进...
智能合约的函数与函数修饰符
JustryDeng
10-13 999
智能合约的函数与函数修饰符 智能合约的函数与函数修饰符 概述 Solidity函数 定义 payable关键字 函数修饰符与函数能力 函数修饰符 函数能力 相关资料 概述 与传统编程不同的是,在智能合约开发时没有主函数入口这样从上到下的流程逻辑。如果把智能合约理解为一个进程的话,开发的函数是为了提供与该进程交互的接口。 Solidity函数 定义 function func_name(paramlist...) modifiers returns (returnlist...)
智能合约常见10个漏洞
sinat_34996559的博客
01-03 2333
1. Reentrancy also known as or related torace to empty,recursive call vulnerability,call to the unknown This exploit was missed in review so many times by so many different people: reviewers tend to review functions one at a time, and assume that call...
深入理解重入攻击漏洞
SierraW的博客
07-06 2200
前言 智能合约(英文:Smart contract )的概念于 1995 年由 Nick Szabo 首次提出,它是一种旨在以信息化方式传播、验证或执行合同的计算机协议,它允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。然而智能合约也并非是安全的,其中 重入 (Re-Entrance) 攻击漏洞是以太坊中的攻击方式之一,早在 2016 年就因为 The DAO 事件而造成了以太坊的硬分叉。 漏洞概述 在以太坊中,智能合约能够调用其他外部合约的代码,由于智能合约可以调用外部合约或者发送以太币,
区块链的安全问题(乱序时间戳,重入攻击
不思量
11-11 6827
在引入比特币等加密货币时,一个经常提及的概念是支撑着这些加密货币的底层框架——区块链协议非常地安全可靠。各种加密算法保证了区块链的正常运行,区块链中的信息不可篡改、不能删除,基于工作量的证明保证难以有攻击者可以控制网络。在这些良好性质的支持下,加密货币系统得到了快速的发展。 但是,对加密货币的绝对安全的期望是错误的。接下来,我们将看一些具体的例子,查看其中加密货币系统是如何被攻击的。第一个例子,攻...
TheDAO悲剧重演,SpankChain重入漏洞分析
热门推荐
Fly_鹏程万里
10-16 2万+
前言 在10月8日,区块链项目方SpankChain在medium上发表了一篇文章, 并表明其受到了攻击,导致损失了160多个ETH和一些Token,这次攻击事件,相对来说损失金额是较小的,约4万美元,不过值得一提的是:这次攻击事件的起因与2016年闹得沸沸扬扬的TheDAO事件如出一辙!一共被盗走300多万ETH,更为严重的是还间接导致了以太坊硬分叉... 自那次事件起,以太坊的智能合约开发...
QT学习笔记7:C++函数默认参数
06-09
好的,我知道了。您的第一个问题是关于C++函数的默认参数的。是的,C++函数可以定义默认参数,这意味着在调用函数时,如果没有提供该参数的值,则会使用预定义的值。例如,以下示例中的函数add()具有两个参数x和y,其中y具有默认值5: ``` int add(int x, int y = 5) { return x + y; } ``` 如果在调用add()函数时只提供了一个参数,则默认情况下使用5作为第二个参数的值: ``` int result1 = add(2); // result1 的值为 7 int result2 = add(2, 3); // result2 的值为 5 ``` 在第一个示例中,add()函数将使用默认值5,因此结果将为7。在第二个示例中,提供了两个参数,因此将使用提供的值来计算结果。 希望这个回答对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值