FISCO BCOS十二、通过Truffle和remix复现智能合约的溢出漏洞(以及修复方法)

最新推荐文章于 2024-09-10 17:22:42 发布
最新推荐文章于 2024-09-10 17:22:42 发布
阅读量450 收藏 2
点赞数 4
分类专栏: FISCO BCOS 文章标签: 智能合约 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63235624/article/details/134361865
版权
本文分析了FISCO BCOS智能合约中的溢出漏洞,通过Truffle和remix复现了攻击过程,并展示了如何通过引入SafeMath库修复这个问题。攻击者通过精心构造的参数,使得合约中的时间锁定值溢出,从而在存储期限未到期前取回代币。
摘要由CSDN通过智能技术生成

一、分析

1、前置知识

上一篇我写了智能合约的重入攻击漏洞,这一篇让我们来了解一下合约另外一个漏洞--溢出漏洞。

首先我们来看看溢出是什么:

溢出(overflow) 分为两种上溢和下溢:所谓上溢是指在运行单项数值计算时,当计算产生出来的结果非常大,大于寄存器或存储器所能存储或表示的能力限制就会产生上溢,例如在 solidity 中,uint8 所能表示的范围是 0 - 255 这 256 个数,当使用 uint8 类型在实际运算中计算 255 + 1 是会出现上溢的,这样计算出来的结果为 0 也就是 uint8 类型可表示的最小值。同样的,下溢就是当计算产生出来的结果非常小,小于寄存器或存储器所能存储或表示的能力限制就会产生下溢。例如在 Solidity 中,当使用 uint8 类型计算 0 - 1 时就会产生下溢,这样计算出来的值为 255 也就是 uint8 类型可表示的最大值。

2、漏洞合约

pragma solidity ^0.7.6;

contract TimeLock {
    mapping(
了解本专栏 订阅专栏 解锁全文 超级会员免费看
寻于乱世
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
FISCO BCOS十三、通过Truffle和remix实现合约自毁漏洞(以及修复方法
qq_63235624的博客
11-15 720
上一篇我写了,这一篇让我们来了解一下合约另外一个漏洞--自毁漏洞。上面三种都需要目标接收转账才能成功将代币转入目标地址,下面我们来看一个不需要接受就能给合约转账的函数:自毁函数。由以太坊智能合约提供,用于销毁区块链上的合约系统。当合约执行自毁操作时,合约账户上剩余的以太币会发送给指定的目标,然后其存储和代码从状态中被移除。然而,自毁函数也是一把双刃剑,一方面它可以使开发人员能够从以太坊中删除智能合约并在紧急情况下转移以太币。
基于FISCO BCOS 开发的solidity 智能合约DEMO
11-14
通过这些DEMO合约,开发者可以学习到如何在FISCO BCOS平台上进行Solidity合约的编写、部署和测试,了解如何处理不同类型的业务逻辑和数据操作。同时,它们也可以作为实际项目开发的参考,帮助解决实际问题。在实践中...
WeBASE-Front和FISCO BCOS节点配合使用的一个子系统
07-30
WeBASE-Front是和FISCO BCOS节点配合使用的一个子系统,需要和节点统计部署,目前支持FISCO BCOS 2.0/3.0以上版本,可通过HTTP请求和节点进行通信,集成了web3sdk/java-sdk,对接口进行了封装和抽象,具备可视化...
fisco-bcos-browser:显示FISCO BCOS链条正在运行的详细信息的浏览器
05-01
FISCO-BCOS 2.0区块链浏览器 全新适配FISCO-BCOS 2+版本,如果使用FISCO-BCOS 1.2或1.3版本请用。 区块链浏览器将区块链中的数据可视化,并进行实时展示。方便用户以Web页面的方式,获取当前区块链中的信息。觉得...
fisco BCOS 集成案例总结
11-19
区块链BCOS 集成案例总结,详细描述了使用fisco Bcos 区块链进行的各种行业应用的真实案例,帮助在BCOS区块链基础上进行应用创新和改造。
区块链FISCO BCOS实战应用篇
06-16
FISCO BCOS是一个区块链底层平台,由金融区块链合作联盟(深圳)(以下简称:金链盟)开源工作组以金融业务实践为参考样本,在BCOS开源平台基础...本课程主要介绍基于FISCO BCOS平台开发资产管理应用和搭建区块链浏览器
区块链通用服务平台及组件】基于向量数据库与 LLM 的智能合约 Copilot
FISCO_BCOS的博客
09-10 360
近年来,向量数据库和大型语言模型(LLM)在各种领域都展现出了强大的能力,特别是在代码生成、优化和推荐方面。
第二部分:Web3的核心技术 4. 智能合约
sise_2022的博客
09-05 759
智能合约是Web3生态中不可或缺的技术组件,它通过代码自动执行协议条款,实现了去中心化、透明和自动化的业务逻辑。智能合约的核心优势包括去中介化、自动化执行和数据不可篡改性,使得各种传统业务操作和合约管理更加高效和安全。智能合约的实现不仅依赖于先进的编程语言如Solidity,还需要区块链平台的支持,以确保合约的部署和执行能够得到有效的保障。
如何通俗易懂的解释TON的智能合约
zhuqiyua的博客
09-09 953
在TON区块链中,如果某个分片链的交易量过大,可以将其分割成更小的分片链,以减轻单个分片的负担。这个比喻中的“中心邮局”对应于英文中的“Masterchain”,它是TON区块链中的一个特殊链,用于同步所有分片链的状态,并确保整个系统能够达成共识。每个智能合约都是一个独立的演员,它们在TON的舞台上演绎着自己的故事,通过消息传递与其他演员互动,共同构建了一个复杂而有序的区块链世界。随着戏剧节的进行,信件的数量越来越多,为了避免信件处理的混乱,小镇的智者决定将广场分成几个区域,每个区域都有自己的信箱管理人。
[Day 74] 區塊鏈與人工智能的聯動應用:理論、技術與實踐
2401_83208854的博客
09-10 494
智慧城市旨在利用現代科技提升城市管理、公共服務以及生活質量,隨著物聯網(IoT)、大數據與人工智能的發展,區塊鏈技術在智慧城市中的潛力越來越被重視。區塊鏈以其去中心化、安全、透明的特性,可以有效提升智慧城市的數據管理、安全性和可追溯性。本篇文章將探討區塊鏈在智慧城市中的具體應用,並且提供代碼範例,詳細解釋每個代碼的作用。區塊鏈是一種分佈式賬本技術(DLT),能夠通過多方參與者在去中心化的網絡中協作,實現數據的安全共享與記錄。每個區塊包含多筆交易,並通過加密方式與前後區塊連接,形成一個安全且難以篡改的數據鏈。
Behind the Code:与 Rakic 和 Todorovic 对话 OriginTrail 如何实现 AI 去中心化
CryptoBuffett的博客
09-05 1564
它可以以去中心化的方式访问不同来源的知识资产,同时维护数据所有权和知识产权,并且提供可验证性,从而精确确定某个知识资产的来源,并将其作为 AI 的输入。迄今为止,平行链的运行非常顺利,没有出现停机现象,拥有独立的治理结构和所有可用的 Pallet,这是 Polkadot 从一开始就做对的地方。另一方面是 “知识网络” 的概念,这一概念最早由万维网的创始人蒂姆·伯纳斯·李提出,他也是 “Web 3.0” 这一术语的最初提出者,该术语最初被称为 “语义网”,如今则体现在知识图谱的概念中。
以太坊开发环境
禅与代码的艺术
09-07 1184
详细讨论了以太坊测试网络和私有网络。在初步介绍了私有网络设置之后,演示了如何使用 Geth 命令行工具执行各种功能,以及如何与以太坊区块链进行交互。还讨论了如何使用 Mist 来部署合约和发送交易。
区块链 + 人才服务】区块链职业技能竞赛平台 | FISCO BCOS应用案例
FISCO_BCOS的博客
09-09 402
区块链职业技能竞赛平台基于 FISCO BCOS 联盟链提供了可靠、安全、高效的区块链服务,带来多方面的成效与意义。
区块链学习笔记2--区块链技术的形成 以太坊
最新发布
weixin_61074128的博客
09-10 253
以太坊的定义:以太坊是运行在一个计算机网络中的软件,他确保数据以及智能合约的小程序可以在没有宗信协调者的情况下,被所有网络中的计算机复制和处理。以太坊的改进: 交易速度加快;pow+pos算法,逐步向pos算法过渡;智能合约:不受人为因素影响,没有黑幕;比特币的出现让经济贸易变得简单,而比特币系统的不足,也同样被人诟病。于是出现了致力解决比特币不足的“V神”。以太坊的愿景是创建一个无法停止,抗屏蔽(审查)和自我维持的去中心化世界计算机。比特币的不足:交易速度慢;仅仅完成了货币的去中心化。
什么是场外个股期权?场外个股期权怎么参与交易?
qiquandongfc的博客
09-09 173
场外个股期权是一种在开放市场上,由交易双方直接协商进行的期权交易,具有高度的定制化和灵活性,但也伴随较高的交易对手风险和流动性风险。场外个股期权是指在场外交易市场(OTC,不通过集中交易所)进行买卖的个股期权。这类期权的交易通常是由金融机构和投资者直接协商、定制的,因此具有较大的灵活性和定制化特点。”的全部内容,希望本文能给您带来帮助,在未来市场交易中收获满满,财源广进!由于不是通过集中交易所交易,存在交易对手违约的风险。可以设计复杂的策略和结构,满足特定的投资或对冲需求,比如定制各种复合期权策略。
蚂蚁数科独立后首度公布业务进展和战略布局
hiyny2012的博客
09-06 539
当前,东南亚等新兴市场数字化需求旺盛,技术出海已经成为中国企业出海主引擎,赵闻飙表示,“蚂蚁数科也正在积极推进技术出海战略,将通过生态共建等多种策略加大本土化运营力度,抓住东南亚等新兴市场的数字化转型机遇。赵闻飙认为,“产业数字化的需求多种多样,即便是前沿如大模型技术,也很难成为产业数字化的唯一解,因此,蚂蚁数科会投入区块链、物联网、隐私计算、AI等多种数字技术创新,打造数字资产流通网络,释放产业数字化新红利。赵闻飙认为,随着产业数字化逐渐步入深水区,数字技术与传统行业的简单融合,已经不能满足发展需求。
蚂蚁数科,独行的170天和未来新征程
GZZN2019的博客
09-10 996
大模型不是唯一解。数字化进入深水区,单一技术很难包治百病。
2. Fabric 简介
qq_42038997的博客
09-05 556
Canvas允许我们在网络上创建一些绝对惊人的图形。但是它提供的API是极令人失望地低级。如果我们只是想在画布上绘制一些基本形状而忘记它们,那是一回事。但是,只要需要进行任何形式的交互,随时更改图片或绘制更复杂的形状,情况就会发生巨大变化。Fabric旨在解决这个问题。原生canvas方法仅允许我们触发简单的图形命令,盲目地修改整个画布位图。
中国传媒业人工智能应用发展图谱2024
易观千帆
09-06 292
传媒产业是指以传播各类信息、知识为核心,通过多种媒介形式进行内容生产、发布和分发的综合性产业。技术的进步和应用对于传媒产业发展变革起到了核心驱动力的作用,2022年生成式AI进入应用爆发期,不仅带动了人工智能产业的进一步增长,也为传媒产业的内容生产和信息交互带来了新的发展范式。2023年以来,生成式 AI技术则掀起 AIGC(人工智能内容生产)新浪潮,糅杂VR/AR、区块链、物联网等种种技术基础上,中国传媒产业加速进入智能化时代,从内容生产、结构布局、综合服务等方面能够变得更智能化。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻于乱世

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值