FISCO BCOS十二、通过Truffle和remix复现智能合约的溢出漏洞(以及修复方法)

最新推荐文章于 2025-01-17 21:27:07 发布
最新推荐文章于 2025-01-17 21:27:07 发布
阅读量539 收藏 2
点赞数 4
分类专栏: FISCO BCOS 文章标签: 智能合约 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63235624/article/details/134361865
版权
本文分析了FISCO BCOS智能合约中的溢出漏洞,通过Truffle和remix复现了攻击过程,并展示了如何通过引入SafeMath库修复这个问题。攻击者通过精心构造的参数,使得合约中的时间锁定值溢出,从而在存储期限未到期前取回代币。
摘要由CSDN通过智能技术生成

一、分析

1、前置知识

上一篇我写了智能合约的重入攻击漏洞,这一篇让我们来了解一下合约另外一个漏洞--溢出漏洞。

首先我们来看看溢出是什么:

溢出(overflow) 分为两种上溢和下溢:所谓上溢是指在运行单项数值计算时,当计算产生出来的结果非常大,大于寄存器或存储器所能存储或表示的能力限制就会产生上溢,例如在 solidity 中,uint8 所能表示的范围是 0 - 255 这 256 个数,当使用 uint8 类型在实际运算中计算 255 + 1 是会出现上溢的,这样计算出来的结果为 0 也就是 uint8 类型可表示的最小值。同样的,下溢就是当计算产生出来的结果非常小,小于寄存器或存储器所能存储或表示的能力限制就会产生下溢。例如在 Solidity 中,当使用 uint8 类型计算 0 - 1 时就会产生下溢,这样计算出来的值为 255 也就是 uint8 类型可表示的最大值。

2、漏洞合约

pragma solidity ^0.7.6;

contract TimeLock {
    mapping(
了解本专栏 订阅专栏 解锁全文 超级会员免费看
FISCO BCOS十一、通过Truffleremix实现智能合约的重入攻击
qq_63235624的博客
11-08 1008
)})根据3.2漏洞分析可知我只需要部署合约,用俩个用户分别调用deposit()方法往合约发送以太币,然后使用攻击者部署Attack.sol合约,部署合约的同时传入合约地址,再去调用attack()方法就可以实现重入攻击,取走合约存储的以太币,上述代码就实现了这一逻辑,下面我们来执行测试文件。
FISCO BCOS 九、Java SDK 部署调用智能合约
qq_63235624的博客
07-29 1819
一个简单的demo,主要演示Java SDK 如何与智能合约进行交互的
FISCO BCOS十三、通过Truffleremix实现合约自毁漏洞(以及修复方法
qq_63235624的博客
11-15 976
上一篇我写了,这一篇让我们来了解一下合约另外一个漏洞--自毁漏洞。上面三种都需要目标接收转账才能成功将代币转入目标地址,下面我们来看一个不需要接受就能给合约转账的函数:自毁函数。由以太坊智能合约提供,用于销毁区块链上的合约系统。当合约执行自毁操作时,合约账户上剩余的以太币会发送给指定的目标,然后其存储代码从状态中被移除。然而,自毁函数也是一把双刃剑,一方面它可以使开发人员能够从以太坊中删除智能合约并在紧急情况下转移以太币。
Fisco Bcos 2.11.0配置console控制台2.10.0及部署调用智能合约
萌萌不会写代码~
09-16 1854
Fisco Bcos 2.11.0配置console控制台2.10.0及部署调用智能合约 Fisco Bcos Console命令行交互控制台,是FISCO BCOS 2.0重要的交互式客户端工具,拥有丰富的命令,能够在连接Fisco Bcos区块链节点后,实现查询区块链信息状态、部署调用智能合约、管理区块链节点等功能。
FISCO BCOS迎来开源智能合约编程语言Liquid
FISCO_BCOS的博客
04-21 1330
编者荐语: 以下文章来源于微众银行区块链 关注公众号:微众银行区块链,并回复 【Liquid】获取全文高清PDF 面对多样复杂应用场景的全新挑战,适用FISCO BCOS智能合约语言Liquid提出新思路,从安全、性能、体验及定制能力出发,助力更便捷地实现业务需求,该语言已全面开源回馈社区,并在社区中成立智能合约编译技术专项兴趣小组,欢迎大家共建项目。 日,国家发展改革委首次明确新型基础设施建设(简称新基建)的范围,将区块链视为新基建的核心技术自主创新的重要突破口。在近期发布的国家“十四五”规划纲要中,
区块链--FISCO BCOS智能合约编译部署
zid_user01的博客
08-25 979
上一章节,我们已经参照官方文档已经安装好fisco-bcos的所有服务器,可以通过webase区块链浏览器访问区块链信息,如下图:登录之后可以看到区块链的信息。
Fisco Bcos如何通过合约地址找到合约代码完美解决方案
热门推荐
向彪-区块链技术研究
04-12 1万+
场景: 部署预言机的时候,区块高度增加了,多了两个合约 问题描述 那么如何通过合约地址找到合约代码? 原因分析: 解决方案:
FISCO BCOS 智能合约库 应用
软件工程小施同学 的专栏
10-28 451
fisco bcos 智能合约开发
weixin_40889839的博客
09-27 2854
项目需求2张表:资源表、资源访问记录表,需要资源上链智能合约、访问记录上链智能合约、以及资源所有权转移智能合约FISCO BCOS提供开发模式,可以通过合约创建表,并对创建的表进行增删改查操作。所以,针对2表创建两个智能合约即可实现对表的增删改查操作。资源的所有权转移可以通过对资源表的数据属主的修改实现。
基于FISCO BCOS 开发的solidity 智能合约DEMO
11-14
通过这些DEMO合约,开发者可以学习到如何在FISCO BCOS平台上进行Solidity合约的编写、部署测试,了解如何处理不同类型的业务逻辑数据操作。同时,它们也可以作为实际项目开发的参考,帮助解决实际问题。在实践中...
区块链论文速读A会-SECURITY 2024 智能合约中的地址验证漏洞 附ppt
软件工程小施同学 的专栏
01-17 333
在以太坊中,验证传递地址的有效性是一种常见做法,这是确保智能合约安全执行的关键步骤。地址验证过程中的漏洞可能导致严重的安全问题,社区也报告了一些轶事证据。在一个完善且无偏见的基准上,AVVERIFIER 的效率可以比 SOTA 提高 2 到 5 倍,同时保持 94.3% 的准确率 100% 的召回率。经过对超过 500 万个以太坊智能合约的大规模评估,我们识别出 812 个此前未被社区公开的易受攻击的智能合约,并进一步验证了 348 个开源智能合约,其中最大的总锁定价值超过 112 亿美元。
通过智能合约攻击漏洞:夺取合约所有权并提取余额
wyb17870531028的博客
01-16 405
我们首先来看一个简单的合约——Fallback,它允许用户通过贡献以太币(ether)成为合约的所有者,并且合约有一个 withdraw() 函数让当前所有者提取合约的余额。攻击函数 attack():该函数接收一定量的 ether,并多次调用 contribute(),每次贡献少于 0.001 ether,直到超过当前所有者的贡献金额。为了实现攻击,我们需要与合约进行交互,逐步增加我们的贡献,直到超过当前所有者的贡献。获得合约的所有权:通过贡献足够的 ether,使自己的贡献超越合约当前的所有者。
Web3与加密技术的结合:增强个人隐私保护的未来趋势
dd8989089的博客
01-15 957
Web3与加密技术的结合为个人隐私保护提供了强有力的保障。去中心化、加密技术、零知识证明等创新手段正在逐步构建一个更加安全、透明且可控的数字世界。随着技术的不断进步,用户的隐私保护将进入一个全新的时代,Web3无疑是推动这一变革的重要力量。在未来的互联网环境中,隐私将不再是被动保护,而是由用户自主掌控的核心价值。
主链Layer2之间资产转移
ZJQ的博客
01-15 125
主链Layer2之间资产转移是实现Layer2技术的关键环节,以下是资产转移的流程、流行解决方案及原理:
Solidity02 Solidity合约组成结构
J_Lee
01-17 559
Solidity合约组成结构
Cables Finance 即将推出链上衍生品 DEX:通过流动质押解锁真实世界资产(RWAs)
Black_mario的博客
01-17 177
这些代币不仅为用户提供了稳定的回报,还为全球市场的交易对冲创造了机会。通过将 DeFi 与全球外汇大宗商品市场相连接,该平台为交易对冲提供了全新的视角,并显著减少了对传统中介机构的依赖。通过其 RWA 流动质押平台以及即将推出的永续合约 DEX ,Cables 能够为用户提供在全球市场中进行交易、赚取收益对冲的工具。Cables Finance 将在 2025 年将进入全新的发展阶段,其将在第一季度推出稳定收益资产,并将为永续合约 DEX 的推出奠定基础,从而为全球 DeFi 参与者创造新的机遇。
计算机网络 (48)P2P应用
最新发布
m0_73399576的博客
01-17 585
计算机网络——P2P应用篇
FISCO BCOS】二十三、部署WeBASE-Node-Manager
naihe_fish的博客
01-17 30
WeBASE-Node-Manager是WeBASE的子组件之一,可以处理前端页面所有web请求,管理各个节点的状态,管理链上所有智能合约,对区块链的数据进行统计、分析,对异常交易的审计,私钥管理等,今天我们来部署WeBASE-Node-Manager。环境:ubuntu 22 、已搭建单机四节点(节点已启动)、安装并配置java环境、安装并配置mysql环境、已部署节点前置服务(服务已启动)关于以上环境的配置,下面是相关部署链接,大家可自行前往部署一、拉取安装脚本获取安装包。
期权懂|期权的溢价率杠杆率有什么区别?
qiquandongkh的博客
01-16 234
锦鲤三三每日分享期权知识,帮助期权新手及时有效地掌握即市趋势与新资讯!
FISCO BCOS与Solidity智能合约DEMO开发指南
通过学习分析这些智能合约DEMO文件,开发人员可以了解如何在FISCO BCOS平台上使用solidity编写智能合约代码,掌握创建复杂数据结构处理基本逻辑的能力。这些技能对于想要开发企业级应用的开发人员来说至关重要,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻于乱世

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值