合约安全:重入攻击

最新推荐文章于 2024-06-07 07:48:08 发布
最新推荐文章于 2024-06-07 07:48:08 发布
阅读量429 收藏 10
点赞数 10
文章标签: 安全 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51542789/article/details/135114008
版权

重入攻击举例

web2.0中的重放攻击导致的逻辑漏洞类似,当用户向合约提现时,正常情况如下

  • 用户向合约发起请求提现

  • 合约检测该用户是否有足够的余额,有的话进行转账

  • 转账成功,用户余额置为0
    相信大家已经看出问题了:转账后才将用户的余额置为0,如果我们能做到像web2.0一样在短时间内不断的发包,在置为0前不断的触发转账函数即可做到将大量的钱转走。因此,我们可以写一个恶意合约来完成我们的设想

思路

  • 用户发起提现请求

  • 合约检测用户余额,向用户提供的提现地址转账

  • 通过向恶意合约转账。触发恶意fallback()/recevie()函数,该函数的内容为请求合约向合约转账。就此,陷入转账的循环,却一直没有到将用户余额置0的那行

/*

实例

预备阶段

bank合约

contract Bank {

往银行先转个20eth

部署Attack合约

contract Attack {
开始攻击

因为Attack合约中,构造函数已经初始化了Bank,因此,直接传入Bank地址创建该Attack合约

目前该Attack合约没有钱,调用attack方法的时候记得转2eth过去
调用attack方法后,Attack合约余额变为了22ethbanck余额为0

代码人生平平无奇
关注
  • 10
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
FISCO BCOS十一、通过Truffle和remix实现智能合约重入攻击
qq_63235624的博客
11-08 588
)})根据3.2漏洞分析可知我只需要部署合约,用俩个用户分别调用deposit()方法往合约发送以太币,然后使用攻击者部署Attack.sol合约,部署合约的同时传入合约地址,再去调用attack()方法就可以实现重入攻击,取走合约存储的以太币,上述代码就实现了这一逻辑,下面我们来执行测试文件。
智能合约安全重入攻击浅析
jaychois的博客
07-15 1194
智能合约安全重入攻击浅析
智能合约安全漏洞与解决方案
yz2015的博客
11-22 1028
解决方案2:使用重入锁方案,定义重入锁,noReentrant原理:提现方法执行完毕会修改锁的状态改为false,当攻击合约下次重入调用的时候,因为上次方法还没有执行完毕,锁状态还是true,所以无法再调用提现具体逻辑,这时候重入锁阻拦住了重入攻击,如果不确定合约逻辑是否有重入漏洞,不妨加入一个重入锁,防止函数被重入攻击,在实际生产环境最好加上重入锁。数字下溢:如果数字低于0,比如最低位 -2,则会反向从uint256最高位处开始循环,变成2**256-2,变成了巨大的数字。
合约安全重入攻击(1)
2401_84247559的博客
04-29 445
往银行先转个20eth部署Attack合约
合约安全重入攻击,扫地阿姨看完都学会了
2401_83974117的博客
04-20 584
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
2024年最新合约安全重入攻击,2024年最新【吐血整理】
2401_84301948的博客
05-06 668
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
合约安全重入 (Reentrancy) 攻击
热门推荐
weixin_43742184的博客
02-17 1万+
重入(Reentrancy)攻击合约攻击中比较常见的攻击手段。黑客利用自己攻击合约中的 fallback() 函数和多余的gas将合约中本不属于自己的 ETH 转走。
Sparkle-Quillhash-Audit:智能合约安全审核
03-16
审计报告智能合约区块链,DApps审计报告通过我们的自动和手动分析,我们提供了完整的解决方案来识别和确定智能合约中的... 最近对智能合约的黑客攻击使此事升级。 来自可信赖的第三方的审核是识别智能合约中的错误
scilla:Scilla - 智能合约中级语言
08-04
Scilla 被设计为一种考虑到智能合约安全的原则性语言。 Scilla 在智能合约上强加了一种结构,通过直接在语言级别消除某些已知漏洞,使应用程序不易受到攻击。 此外,Scilla 的原则性结构将使应用程序本质上更安全,...
以太坊与智能合约.pdf
02-18
尽量通俗易懂,由浅入深的介绍了被称为区块链2.0的以太坊的基本架构和算法,包括MPT树,以太坊数据结构,区块验证...然后介绍了一些以太坊中出现的漏洞以及攻击。最后给出了两个智能合约的应用实例,其中一个包含源代码
区块链安全白皮书:技术应用篇
03-24
区块链作为一种全新的信息存储、传播和管理机制,通过让用户共同参与数据的计算和存储,并互相验证数据的真实性,以...2018年5月,EOS智能合约曝出严重安全漏洞,攻击者可利用漏洞控制和接管其上运行的所有节点等。据统
基于区块链智能合约的物联网恶意节点检测和定位
01-20
随着物联网中分布式设备数量的爆发式增长,设备之间的协作和优化算法的安全问题成为物联网系统研究的前沿问题。物联网中的分布式算法依赖于单个智能体的本地计算和近邻间通信来迭代地解决一类广泛的、受约束的优化...
安全生产月”专题报道:AI智能监控技术如何助力安全生产
TSINGSEE青犀视频官方技术博客
06-04 912
方案能够通过对人员行为的识别和分析,判断是否存在安全隐患。这些功能的实现,有助于企业提高安全管理水平,减少因人为因素导致的安全事故。
应用程序加固的优势及其在移动应用安全中的重要性
gulu230220的博客
06-05 395
通过提升应用程序的安全性、防止应用程序被篡改、提高应用程序的抗攻击能力、保护应用程序的知识产权和提升用户体验和信任度,加固技术可以有效保障移动应用的安全和稳定,为用户提供更加安全和可靠的移动应用服务。通过加固应用程序的安全漏洞和弱点,加固技术可以防止黑客利用已知的攻击手段和工具对应用程序进行攻击,提高应用程序的安全性和稳定性。通过加密和混淆应用程序的源代码和关键算法,加固技术可以防止黑客和竞争对手获取应用程序的源代码和商业机密,保护开发者的创新成果和商业利益。应用程序加固能够有效提升移动应用程序的安全性。
读书笔记-《软件定义安全》之二:SDN/NFV环境中的安全问题
最新发布
wuxiaobing1234的博客
06-07 727
南向协议主要侧重于南向接口上的数据转发、网络配置、数据平面信息收集等功能。OpenFlow协议OpenFlow是SDN的标志性技术,他体现了SDN的核心思想:控制与转发分离。它通过流表控制技术支持用户对数据流行为进行控制。OpenFlow交换机根据流表来转发数据包,代表数据转发平面;控制器通过全网络视图来实现管控功能,其控制逻辑表示控制平面。OpenFlow协议的发展演进一直都围绕着两个方面,一方面是控制平面的增强,让系统功能更丰富、更灵活;
边缘数据采集网关为企业提供高效、安全、可靠的数据采集解决方案-天拓四方
2401_84969963的博客
06-05 537
同时,通过对网关采集上来的数据进行分析,企业还能够发现生产过程中的瓶颈和问题,进一步优化生产流程和提高产品质量。传统的数据采集系统往往采用集中式的架构,所有数据都需要传输到中央服务器进行处理,这不仅增加了数据传输的延迟,还可能导致数据泄露的风险。然而,在转型过程中,许多企业面临着数据采集的难题。设备兼容性:边缘数据采集网关采用标准的通信协议和接口,能够与多种设备进行连接和通信,实现了设备之间的无缝对接。实时性:由于数据采集和处理工作都在设备边缘进行,大大减少了数据传输的延迟,实现了数据的实时采集和反馈。
跨区域文件管控过程中 如何保障安全和效率?
文件数据安全交换
06-03 598
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。飞驰云联主要服务于集成电路半导体、先进制造、高科技、金融、政府机构等行业的中大型客户,现有客户超过500家,其中500强和上市企业150余家,覆盖终端用户超过40万,每年通过飞驰云联平台进行数据传输和保护的文件量达到4.4亿个。
详细介绍时间戳依赖合约、误操作异常、可重入攻击
05-23
重入攻击是指攻击者利用合约中的漏洞,在合约执行期间多次调用同一个合约,从而在合约执行期间再次执行攻击代码。例如,攻击者可能会利用合约中的回调函数,在执行完合约后再次调用该合约,从而实现重复攻击。为了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值