逻辑陷阱型蜜罐合约

最新推荐文章于 2023-11-15 09:53:43 发布
最新推荐文章于 2023-11-15 09:53:43 发布
阅读量3.0k 收藏 2
点赞数
文章标签: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30230009/article/details/128751181
版权
本文探讨了逻辑陷阱蜜罐合约的概念,包括黑名单蜜罐合约、可变合约制造蜜罐和限时限卖的蜜罐合约。通过具体案例分析,揭示了这些合约如何利用逻辑限制让用户资产陷入困境,并提醒读者注意智能合约中的潜在风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

a3103c105052e5b71b9ffb608345d797.jpeg

蜜罐是传统安全领域中的一个概念,通常指安全人员设置一些陷阱(比较明显的漏洞),让攻击者自己掉入我们设置好的陷阱中,以便安全人员分析攻击者的作恶手法。

蜜罐合约(HoneyPots Contract)也是类似的概念,但对象变了,一般指合约开发者设置了看似容易获利的合约逻辑,但其实是陷阱,普通用户观察合约,发现有利可图,便与蜜罐合约交互,结果发现交互的资产无法被自己提出。

蜜罐合约在中文圈子有时也称为貔貅合约,本文将简单讨论一下,我看见的几种逻辑陷阱型蜜罐合约。

逻辑陷阱蜜罐合约

比较多项目会在transfer函数(转账相关)中实现一些业务逻辑,蜜罐合约可能在transfer函数中加入一些强行限制用户交易的逻辑,从而实现截取用户资产的效果。

这类合约,我称为逻辑陷阱型蜜罐合约,是比较好识别的一类,主要关注其交易相关的逻辑在合约实现上是否透明以及是否有限制则可,这里介绍三个逻辑陷阱型蜜罐合约:

  • 黑名单蜜罐合约

  • 可变合约构成的蜜罐合约

  • 限时限卖的蜜罐合约

黑名单蜜罐合约

我们看到BSC上一个叫Moco合约:https://bscscan.com/address/0x9d4bDdd642529a588f910Aad405C07e066A908Cf#code

Moco合约继承了ERC20,即是一个代币合约,看到合约中的_transfer函数,部分代码如下:

function _transfer(address sender, address recipient, uint256 amount) private returns (bool) {

    require(sender != address(0), "ERC20: transfer from the zero address");
    require(recipient != address(0), "ERC20: transfer to the zero address");
    require(!_i
最低0.47元/天 解锁文章
基于深度学习的区块链蜜罐陷阱合约检测
weixin_70923796的博客
02-18 515
但该方法提出的检测模的训练必须建立在足够多的交易记录数据特征上,而大多数智能合约中并不包含足够的用以特征提取的交易记录,一旦蜜罐陷阱合约包含足够的交易记录,就意味着可能不止一个用户深陷陷阱。无论是独热编码还是无监督训练得到的词向量模,对词汇的向量表示都是基于词语间的相关性,这样的模式对基于文本的词汇表示是十分合适的,但对于智能合约中的操作码却不太适用,其无法凸显关键操作码对智能合约的特殊性。提取方法得到的结果应用到模中,权重值的大小代表操作码的重要性,该层可以提高模对关键操作码信息的关注度;
Smart contract security Papers---智能合约安全论文
github_3868346
12-30 8679
[JNCA'20]FSFC: An input filter-based secure framework for smart contract 链接:https://authors.elsevier.com/c/1aRzo3sf~y5KuF [ICSE'20]sFuzz: An Efficient Adaptive Fuzzer for Solidity Smart Contracts ...
基于深度学习的区块链蜜罐陷阱合约检测.docx
05-29
基于深度学习的区块链蜜罐陷阱合约检测.docx
以太坊蜜罐智能合约分析
Fly_鹏程万里
08-24 2112
  0×00 前言 在学习区块链相关知识的过程中,拜读过一篇很好的文章《The phenomenon of smart contract honeypots》,作者详细分析了他遇到的三种蜜罐智能合约,并将相关智能合约整理收集到Github项目smart-contract-honeypots。 本文将对文中和评论中提到的 smart-contract-honeypots 和 Solidlity...
有趣的智能合约蜜罐(下)
SierraW的博客
01-19 3084
玩游戏总是输?来看看智能合约蜜罐是如何被利用来实现欺骗!
一种利用 etherscan.io 缺陷的智能合约蜜罐正悄然流行
SECBIT区块链安全实验室
08-11 1597
安比(SECBIT)实验室近期发出预警,一种新蜜罐(诈骗)合约正在泛滥,利用区块链浏览器的相关局限,设置陷阱欺骗游戏参与者,且诈骗目标多为具备一定区块链专业素养的人员。据安比(SECBIT)实验室统计数据显示,同类合约的数量高达48个,其中一个合约部署于 3 天前,已有玩家受骗的合约超过21份,累计骗取金额超过 25 ETH。 前几天,小安比从 p0n1 大神那里听说了一种新蜜罐(...
老版本solidity引用类的一个坑(附真实案例-蜜罐合约
文杰的博客
08-09 306
都是引用类不赋初值惹的祸一个例子:注意看变量a的初始值为0: 当调用f()函数后: a的值居然变成了1,而且多次调用f函数会发现每次a的值都会增加1。 这也太坑了! 原因在于:创建数组x的操作uint[] x没有添加初始的值,所以x保存的地址指向是默认指向整个合约的开始位置,也就是变量a的位置/地址。而Solidity中数组的机制是会使用初始的位置保存整个...
有趣的智能合约蜜罐分析(上)
SierraW的博客
10-15 1391
智能合约蜜罐概述 研究安全的读者应该都清楚,蜜罐本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击。蜜罐设计的初衷就是让黑客来入侵系统,并借此收集证据,也隐藏了真实环境。 智能合约中也有蜜罐,但它不同于我们一般听到的蜜罐。在本文中,知道创宇区块链安全实验室 主要针对智能合约蜜罐(Smart Contract Honeypot)进行分析。 智能合约蜜罐的作用更像是钓鱼,通过引诱攻击者转账到蜜罐合约。相比于普通钓鱼行为面对一般用户,智能合约蜜罐的钓鱼行为针
蜜罐合约-老版本solidity引用类的一个坑
文杰的博客
08-09 269
都是引用类不赋初值惹的祸 一个例子: 注意看变量a的初始值为0: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mw28AUWa-1596979218126)(http://xwjpics.gumptlu.work/qiniu_picGo/20200809195043.png)] 当调用f()函数后: a的值居然变成了1,而且多次调用f函数会发现每次a的值都会增加1。 这也太坑了! 原因在于:创建数组x的操作uint[] x没有添加初始的值,所以x保存的地址指向是默认指
以太坊蜜罐智能合约的魔术戏法.pdf
08-08
古老却不过时的障眼法 正常逻辑下的思维陷阱 精心构造的代码与场景 链上的一切都有迹可循
长亭D-Sensor谛听蜜罐逻辑缺陷漏洞
战神/calmness的博客
05-12 1631
长亭D-Sensor谛听蜜罐逻辑缺陷漏洞 目录 长亭D-Sensor谛听蜜罐逻辑缺陷漏洞 官网 漏洞描述 漏洞URL 影响版本 过程 修复建议 官网 https://www.chaitin.cn/zh/ 长亭科技 漏洞描述 通过访问该网站系统,使用/robots.txt路径发生跳转现象,进行抓包测试;发现可在未授权的情况下进行操作系统内部的各个模块,同时泄露模块的URL敏感路径; 漏洞URL https://8.1.1.8/robots.txt 影响版本 DS-S4...
蜜罐技术
xnix相关的收藏
08-25 2129
1.引言随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为 Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻
网络安全领域之-蜜罐技术
最新发布
柳岸花又明的博客
11-15 2825
其次是高交互蜜罐,高交互蜜罐是相对于低交互蜜罐而言的,是在开放相关端口的基础之上增加了一些仿真的服务或者应用在里面,达到一个更好迷惑攻击者视线的一个效果,一般此类蜜罐,像web类蜜罐会在护网或者重保期间通过防火墙,或者路由器映射在用户互联网出口处,“故意”让攻击者去攻击“蜜罐”这样的话,蜜罐就可以在攻击者打到真实业务之前就锁定攻击者的ip,以至提前做出相关的策略、响应。所以说,蜜罐的部署方式基本是依照与该厂商蜜罐的特性而言的,蜜罐的部署需要考虑多个因素,如蜜罐的类、部署位置、操作系统、应用程序等。
【今天黑一下学校教务系统】某学校渗透测试远程命令执行(已授权)
shandongjiushen的博客
02-07 3793
我和小伙伴们都惊呆了
2019.2.15 区块链论文翻译
weixin_33800593的博客
02-15 321
SoK: Transparent Dishonesty: front-running attacks on Blockchain. Concordia University 我们认为前端运行是一种行动方式,其中实体受益于先前访问有关即将进行的交易和交易的特权市场信息。 自20世纪70年代以来,前沿运行一直是金融工具市场的一个问题。 随着区块链技术的出现,前线运行重新浮现在我们在这里探索的新形式...
2019.2.14 区块链论文翻译
weixin_34253539的博客
02-14 426
Two-tier blockchain timestamped notarization with incremental security University of Trento, Trento, Italy &University of Sheffield, Sheffield, UK 数字公证是现代基于区块链的解决方案提供的最有前途的服务之一。 我们提供的数字公证设计具有增量...
一个蜜罐的渗透分析
cnbird's blog
01-18 1203
一个蜜罐的渗透分析
第十二章 避开采集的陷阱-避免蜜罐
qq_24599703的博客
11-07 592
#!/usr/bin/env python # _*_ coding:utf-8 _*_ #避免蜜罐 from selenium import webdriver driver=webdriver.phantomjs(executable_path='D:/pycharm/phantomjs-2.1.1-windows/bin/phantomjs') driver.get("http://py...
搞疯爬虫程序员的8个难点
Python_cocola的博客
02-07 6440
Python很强大,熟练的程序员可以在5分钟内写出一个有价值的爬虫,比如: 抓取股票信息 抓取笑话 抓取商品信息 但大部分被抓的网站不是任你抓取的木鸡,有抓就有反抗! 这是一场网站和程序员之间的一种博弈!都是程序员,何必呢?程序员何必为难程序员! 凡是博弈,就一定不易!因为道高一尺魔高一丈。 你抓他就防,你改进抓取方法,他就提高防抓手段! 随便你抓,岂不是侮辱网站程序员吗? 如果有人问你:某某网站能不能抓? 答案肯定是:能! 从技术角度讲,只要你能在通过网页上看到的内容,就一定能抓!无非就是抓取难
混合蜜罐:高交互与安全的平衡策略
本文主要探讨了一种针对传统蜜罐技术局限性的创新研究——混合蜜罐蜜罐是一种网络安全技术,用于监测和诱捕恶意攻击者,但传统蜜罐往往在提供足够交互度以吸引攻击者的同时,难以保证极高的安全性。本文的创新之...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

懒编程-二两

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值