Solidity 智能合约安全漏洞——ERC20 授权欺骗

于 2024-08-25 14:09:46 发布
阅读量1.2k 收藏 19
点赞数 19
文章标签: 智能合约 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_69584919/article/details/141528787
版权

在区块链世界中,以太坊的 ERC20 代币标准是最广为人知的代币标准协议之一。然而,在实现 ERC20 标准的过程中,approve 函数的一些误用可能导致严重的安全漏洞,被称为 ApproveScam。本文将深入探讨 ApproveScam 漏洞的原理、危害以及相应的防范措施。

什么是 ApproveScam 漏洞?

ApproveScam 漏洞源于 ERC20 标准中 approve 函数的误用。approve 函数本身的设计目的是允许代币持有者授权某个地址可以从持有者账户中转移一定数量的代币。但如果持有者授权的金额过大(通常是无限大type(uint256).max),攻击者就可以在未经持有者同意的情况下,从持有者账户中转移走所有代币。

具体来说,一旦 Alice 授权了 Eve 可以无限转移 Alice 账户中的代币,Eve 就可以调用 transferFrom 函数,将 Alice 账户中的所有代币转移到自己的账户中。这就是 ApproveScam 漏洞的核心原理。

// Alice 授权 Eve 可以无限转移自己账户中的代币
ERC20Contract.approve(address(eve), type(uint256).max);

// Eve 利用授权转移 Alice 账户中的所有代币
ERC20Contract.transferFrom(address(alice), address(eve), 1000);

ApproveScam 造成的危害

ApproveScam 漏洞虽然原理简单,但造成的损失却可能是灾难性的。一旦用户轻易的给某个地址授权,那么攻击者可以在用户不知情的情况下,轻易转走其账户中的所有代币。

除此之外,ApproveScam 漏洞还可能被滥用于其他诸如洗钱等违法犯罪活动中。总的来说,ApproveScam 是一个严重的安全隐患,需要开发者和用户高度重视。

ApproveScam 漏洞攻击演示

我们有如下遵循 ERC20 协议的 MyToken 合约,账户Alice(0x5B3…dC4) 被 Eve(0xAb8…cb2) 的钓鱼网站恶意授权导致损失所有的 Token。

// SPDX-License-Identifier: MIT
// Compatible with OpenZeppelin Contracts ^5.0.0
pragma solidity ^0.8.20;

import "@openzeppelin/contracts/token/ERC20/ERC20.sol";
import "@openzeppelin/contracts/access/Ownable.sol";

contract MyToken is ERC20, Ownable {
    constructor()
        ERC20("MyToken", "MTK")
        Ownable(msg.sender)
    {}

    function mint(address to, uint256 amount) public onlyOwner {
        _mint(to, amount);
    }

    function approve(address spender, uint256 value) public virtual override returns (bool) {
        address owner = _msgSender();
        _approve(owner, spender, value);
        return true;
    }
}

1.账户Alice(0x5B3…dC4) 部署 MyToken 合约,并为自己铸造了 1000 枚 Token。
请添加图片描述
请添加图片描述

2.手动调用 approve 函数模拟账户 Alice(0x5B3…dC4) 授权黑客 Eve(0xAb8…cb2) 无限量的代币,授权数量 115792089237316195423570985008687907853269984665640564039457584007913129639935 为 type(uint256).max,对应的授权页面为第 2 张图。不建议无限量的授权额度,即使这样做可以节省 gas 费(不用每次交互都发起授权交易)。
请添加图片描述
请添加图片描述

3.调用 transferFrom 函数,将账户 Alice(0x5B3…dC4) 的资产全部转移到 Eve(0xAb8…cb2) 控制的账户 (0x4B2…2db)中,执行成功后,我们会发现黑客账户(0x4B2…2db)有 1000 个 Token。
请添加图片描述

如何防范 ApproveScam 漏洞

防范 ApproveScam 漏洞的最好方式是谨慎使用 approve 函数,尤其是在授权金额时。应当遵循以下原则:

1.只在必要时才调用 approve 函数,不要滥用或过度使用。

2.授权金额应当根据实际需求设置,例如approve(spender, amount)而非approve(spender, type(uint256).max)。

3.在功能实现结束后,应及时撤销之前的授权,即approve(spender, 0)。

4.在智能合约开发阶段,彻底检查 approve 函数的使用,防范 ApproveScam 漏洞。

总之,ApproveScam 漏洞是 ERC20 标准一个需要警惕的安全隐患,需要开发者和用户共同重视,不要盲目签名,避免资产受损失。

日照栏栅
关注
【合约协议】——2、ERC-20标准规范
Fly_鹏程万里
08-04 234
ERC-20标准规范是以太坊网络上最为流行的代币标准之一,它定义了代币合约的基本功能和接口规范,作为区块链技术的应用之一,代币合约在数字货币、数字资产和去中心化应用中扮演着重要的角色,在这个发展迅速的领域标准化是保证各方协作和互操作性的基础,而ERC-20标准规范的出现为代币合约的标准化提供了一个重要的参考框架,本文将对ERC-20标准规范进行详细介绍帮助读者更好地理解代币合约的基本功能和技术实现。
ERC20 allowance,approve 和 transferFrom
07-24 1210
allowance,approve 和 transferFrom,这几个函数提供了一些高级功能,用于授权其他以太坊地址的所有者(spender)代表你使用你的token。这个“其他以太坊地址”可能是一个智能合约,也可能只是一个普通token账户。● approve函数。Token所有者可以调用这个函数授权spender代表它使用value数量的token。spender可以调用此函数来执行转账,转账金额不应超过其被授权的额度。此函数被用来查看owner给spender的token额度。
solidity以太坊之ERC20中的approve和transferFrom真正的含义是什么(委托转账)
热门推荐
weixin_43343144的博客
04-04 1万+
委托交易在区块链中用的可能很少,在生活中很多,但是ERC20实现起来似乎感觉很难理解!这里深度剖析一下委托交易是怎么个原理! 委托转账原理分析: 假设:A账号有10000个token代币,B账号没有token代币,C账号也没有token代币! 那么:A账号 委托 B账号 转给C账号 100个token代币 怎么来实现呢? 首先:A账号 和 B账号建立一种委托关...
ERC20标准函数简介与测试方法
sanqima的专栏
11-04 4492
ERC20是以太坊上的一种合约标准,它包含5个函数、2个事件。具体如下: - totalSupply() 代币的总量 - balanceOf() 某个地址上的余额 - transfer() 发送代币 - allowance() 额度、配额、津贴 - approve() 批准给某个地址一定数量的代币(授予额度、授予津贴) - transferFrom() 提取approve授予的代币(提取额度、提取津贴) - Transfer() 代币发送事件 - Approval() 额度批准事件
ERC20智能合约approve千万别这样写
SECBIT区块链安全实验室
06-15 7176
作者:安比(SECBIT)实验室 最近智能合约安全事件频发,从BEC到SMT,从HXG到FXE等,最近这几个智能合约出的问题,大都是由于整数溢出漏洞导致的。大家对整数溢出是不是都杯弓蛇影了?我们是不是应该在所有的地方都加上安全检查,确保我们的代码没有问题呢?可是这样真的好吗? 我们先来看看这段代码: function approve(address _spender, uint _amou...
ERC 20 优缺点,以及 eth 3 种转账方式
bareape的博客
04-26 9397
ERC 20 协议的产生(优点): 定义统一的函数名:名称、发行量、转账函数、转账事件等 以便交易所、钱包进行集成 所有实现了这些函数的合约都是 ERC20Token ERC20 可以表示任何同质的可以交易的内容: 货币、股票、积分、债券、利息... 可以用数量来表示的内容 基本上可以ERC20 表示 ERC 20 的缺点 以下是一个遇到很多次的场景:有一天老板过来找你(开发者),最近存币生息很火,我们也做一个合约吧, 用户打币过来给他计算利息, 看起来是一个很简单的需求,你满口答应说好,结果自
古老的Solidity智能合约错误代码编写
01-08
Solidity0.4.23版本的时候,有人在GitHub上列举了一些使用Solidity编写智能合约时常见的错误用法。虽然现在大家基本上都不会再写同样的问题代码,但是重新学习一下仍然有着借鉴意义。 1、tx.origin 错误用法:...
2024solidity智能合约开发零基础精细化入门教程
最新发布
05-09
Solidity语言受到了C++、Python和JavaScript等语言的影响,旨在提供一种安全、易于理解的方式来创建和管理智能合约。 特点 静态类型:Solidity是一种静态类型语言,这意味着所有变量的类型在编译时都必须明确指定。...
关于以太坊ERC-20通证智能合约协议
erain的博客
06-29 4133
ERC代表“Etuereum Request for Comment”,以太坊社区为了创建一个以太坊平台的标准,开发人员提交了一个以太坊改进方案(EIP),改进方案中包括协议规范和合约标准。最终确定的EIP为以太坊开发者提供了一套可实施的标准。这使得智能合约可以遵循这些通用的接口标准来构建。可以在这里检索到所有EIP提案。而ERC-20是以太坊上最重要的智能合约标准之一。它已经成为基于以太坊公链上用于发行可替换通证,所使用智能合约的技术标准。ERC-20 定义了所有可替换的以太坊通证都应该遵守的通用规则列表
uniswap ERC20代码学习
才华支撑不了野心
09-07 1183
目录1、合约源码2、代码逐行解读3、知识拓展3.1 链下签名消息3.2 EIP-7123.3 为什么存在permit函数3.4 代币元数据 UniswapV2ERC20.sol是交易对合约的父合约,主要实现了ERC20代币功能并增加了对线下签名消息进行授权的支持。它除了标准的ERC20接口外还有自己的接口,因此取名为UniswapV2ERC20。 1、合约源码 pragma solidity =0.5.16; import './interfaces/IUniswapV2ERC20.sol'; imp
辟谣!关于网传的ERC20 approve函数重大安全漏洞,大家不必过度慌张!
区块链大本营
06-18 2378
近期,有人发现并报道了ERC20标准的approve方法存在巨大安全漏洞,并声称该漏洞会导致所有使用该标准发布的代币存在被向量攻击的风险。该团队经过市场统计发现,目前已上...
圈钱跑路 ERC20 Token 合约代码分析
Quartz's Blog
02-16 6966
ERC20 Token 合约代码分析 合约接口代码 // https://github.com/ethereum/EIPs/issues/20 // 接口标准 contract ERC20 { function totalSupply() constant returns (uint totalSupply); // 总发行量 function balan...
以太坊开发入门-ERC20合约
linkcmath的博客
08-12 5856
实现一个完整的ERC20合约,可以部署上线
ERC20标准的简述
lj900911的专栏
10-21 3723
ERC是Ethereum Request for Comments的缩写,代表以太坊开发者提交的协议提案。ERC20可能是其中最广为人知的标准,协议规定了具有可替代性Token的一组基本接口,包括代币符号、发行量、转账、授权等。 所谓可替代性Token指代币之间无差异,同等数量的两笔代币价值相等。所以类似交易所里的那些代币都是可互换的,使用相同的标准就使得代币之间可以兑换,也以为着这些代币可以用...
ERC20规范(官方文档翻译、整理版)
weixin_40345905的博客
07-30 4300
最近想看ERC20规范原文档觉得英文太多,想看国内的相关博客、文章,又怕作者理解的有偏差,所以这篇文章来系统翻译、整理下官方的ERC20规范文档。原文链接:https://github.com/ethereum/EIPs/blob/master/EIPS/eip-20.md 1.简单总结 Token的标准接口。 2.摘要 以下标准允许在智能合约为token实现标准API。 本标准提...
【Ethereum】以太坊ERC20与ERC233的区别
weixin_33671935的博客
09-26 553
什么是ERC223 ERC223是继ERC20后推出的新标准,解决了ERC20中的一些问题 相关说明 ERC223开发的主要目标 1.合约中意外丢失token: 有两种不同的方式来转移ERC20 token: 1) 合约地址 2) 钱包地址 ,你需要调用transfer发送给钱包地址 或者 调用approve在toke...
自定义Solidity合约实现:PetToken与ERC721详解
- 文档提到合约需要遵守ECR712协议,这可能意味着它包含了与ERC712相关的验证逻辑,用于安全地执行智能合约中的签名和身份验证功能。 通过阅读这段代码,读者可以了解到如何在Solidity中设计一个基础的NFT代币合约...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值