逻辑陷阱型蜜罐合约

最新推荐文章于 2023-11-15 09:53:43 发布
最新推荐文章于 2023-11-15 09:53:43 发布
阅读量2.8k 收藏 2
点赞数
文章标签: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30230009/article/details/128751181
版权

a3103c105052e5b71b9ffb608345d797.jpeg

蜜罐是传统安全领域中的一个概念,通常指安全人员设置一些陷阱(比较明显的漏洞),让攻击者自己掉入我们设置好的陷阱中,以便安全人员分析攻击者的作恶手法。

蜜罐合约(HoneyPots Contract)也是类似的概念,但对象变了,一般指合约开发者设置了看似容易获利的合约逻辑,但其实是陷阱,普通用户观察合约,发现有利可图,便与蜜罐合约交互,结果发现交互的资产无法被自己提出。

蜜罐合约在中文圈子有时也称为貔貅合约,本文将简单讨论一下,我看见的几种逻辑陷阱型蜜罐合约。

逻辑陷阱蜜罐合约

比较多项目会在transfer函数(转账相关)中实现一些业务逻辑,蜜罐合约可能在transfer函数中加入一些强行限制用户交易的逻辑,从而实现截取用户资产的效果。

这类合约,我称为逻辑陷阱型蜜罐合约,是比较好识别的一类,主要关注其交易相关的逻辑在合约实现上是否透明以及是否有限制则可,这里介绍三个逻辑陷阱型蜜罐合约:

  • 黑名单蜜罐合约

  • 可变合约构成的蜜罐合约

  • 限时限卖的蜜罐合约

黑名单蜜罐合约

我们看到BSC上一个叫Moco合约:https://bscscan.com/address/0x9d4bDdd642529a588f910Aad405C07e066A908Cf#code

Moco合约继承了ERC20,即是一个代币合约,看到合约中的_transfer函数,部分代码如下:

function _transfer(address sender, address recipient, uint256 amount) private returns (bool) {

    require(sender != address(0), "ERC20: transfer from the zero address");
    require(recipient != address(0), "ERC20: transfer to the zero address");
    require(!_
最低0.47元/天 解锁文章
懒编程-二两
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
一种利用 etherscan.io 缺陷的智能合约蜜罐正悄然流行
SECBIT区块链安全实验室
08-11 1446
安比(SECBIT)实验室近期发出预警,一种新蜜罐(诈骗)合约正在泛滥,利用区块链浏览器的相关局限,设置陷阱欺骗游戏参与者,且诈骗目标多为具备一定区块链专业素养的人员。据安比(SECBIT)实验室统计数据显示,同类合约的数量高达48个,其中一个合约部署于 3 天前,已有玩家受骗的合约超过21份,累计骗取金额超过 25 ETH。 前几天,小安比从 p0n1 大神那里听说了一种新蜜罐(...
有趣的智能合约蜜罐(下)
SierraW的博客
01-19 2924
玩游戏总是输?来看看智能合约蜜罐是如何被利用来实现欺骗!
老版本solidity引用类的一个坑(附真实案例-蜜罐合约
文杰的博客
08-09 265
都是引用类不赋初值惹的祸一个例子:注意看变量a的初始值为0: 当调用f()函数后: a的值居然变成了1,而且多次调用f函数会发现每次a的值都会增加1。 这也太坑了! 原因在于:创建数组x的操作uint[] x没有添加初始的值,所以x保存的地址指向是默认指向整个合约的开始位置,也就是变量a的位置/地址。而Solidity中数组的机制是会使用初始的位置保存整个...
有趣的智能合约蜜罐分析(上)
SierraW的博客
10-15 1194
智能合约蜜罐概述 研究安全的读者应该都清楚,蜜罐本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击。蜜罐设计的初衷就是让黑客来入侵系统,并借此收集证据,也隐藏了真实环境。 智能合约中也有蜜罐,但它不同于我们一般听到的蜜罐。在本文中,知道创宇区块链安全实验室 主要针对智能合约蜜罐Smart Contract Honeypot)进行分析。 智能合约蜜罐的作用更像是钓鱼,通过引诱攻击者转账到蜜罐合约。相比于普通钓鱼行为面对一般用户,智能合约蜜罐的钓鱼行为针
蜜罐合约-老版本solidity引用类的一个坑
文杰的博客
08-09 221
都是引用类不赋初值惹的祸 一个例子: 注意看变量a的初始值为0: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mw28AUWa-1596979218126)(http://xwjpics.gumptlu.work/qiniu_picGo/20200809195043.png)] 当调用f()函数后: a的值居然变成了1,而且多次调用f函数会发现每次a的值都会增加1。 这也太坑了! 原因在于:创建数组x的操作uint[] x没有添加初始的值,所以x保存的地址指向是默认指
长亭D-Sensor谛听蜜罐逻辑缺陷漏洞
战神/calmness的博客
05-12 1321
长亭D-Sensor谛听蜜罐逻辑缺陷漏洞 目录 长亭D-Sensor谛听蜜罐逻辑缺陷漏洞 官网 漏洞描述 漏洞URL 影响版本 过程 修复建议 官网 https://www.chaitin.cn/zh/ 长亭科技 漏洞描述 通过访问该网站系统,使用/robots.txt路径发生跳转现象,进行抓包测试;发现可在未授权的情况下进行操作系统内部的各个模块,同时泄露模块的URL敏感路径; 漏洞URL https://8.1.1.8/robots.txt 影响版本 DS-S4...
基于深度学习的区块链蜜罐陷阱合约检测.docx
05-29
基于深度学习的区块链蜜罐陷阱合约检测.docx
构建高交互蜜罐监控系统
09-06
构建高交互蜜罐监控系统是一种网络安全防御策略,旨在诱骗攻击者并收集关于他们的活动信息。高交互蜜罐(High Interaction Honey Pot)是模仿真实系统的一种设备,它可以是商业现成的计算机、路由器或交换机,其...
启明星辰蜜罐-虚拟机安装部署
09-09
软件版蜜罐在虚拟机上的安装部署
观安魅影蜜罐用户手册
11-06
观安魅影是基于网络欺骗技术的主动防御系统,通过在内网中部署具备感知能力的探测端、管理服务端、沙盒仿真服务端来协同联动。当攻击者、蠕虫、病毒等触碰到探测端时,探测端将收集到的数据及时上报到管理服务器并...
基于蜜罐技术的FPGA实现
01-19
前言  1. 项目背景  蜜罐技术由来已久,...简单点一说:蜜罐就是诱捕攻击者的一个陷阱。根据蜜罐与攻击者之间进行的交互,可以分为3类:低交互蜜罐,中交互蜜罐和高交互蜜罐。  目前市面上的蜜罐都是利用软件来
蜜罐技术
xnix相关的收藏
08-25 2031
1.引言随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为 Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻
基于深度学习的区块链蜜罐陷阱合约检测
weixin_70923796的博客
02-18 353
但该方法提出的检测模的训练必须建立在足够多的交易记录数据特征上,而大多数智能合约中并不包含足够的用以特征提取的交易记录,一旦蜜罐陷阱合约包含足够的交易记录,就意味着可能不止一个用户深陷陷阱。无论是独热编码还是无监督训练得到的词向量模,对词汇的向量表示都是基于词语间的相关性,这样的模式对基于文本的词汇表示是十分合适的,但对于智能合约中的操作码却不太适用,其无法凸显关键操作码对智能合约的特殊性。提取方法得到的结果应用到模中,权重值的大小代表操作码的重要性,该层可以提高模对关键操作码信息的关注度;
Smart contract security Papers---智能合约安全论文
github_3868346
12-30 8126
[JNCA'20]FSFC: An input filter-based secure framework for smart contract 链接:https://authors.elsevier.com/c/1aRzo3sf~y5KuF [ICSE'20]sFuzz: An Efficient Adaptive Fuzzer for Solidity Smart Contracts ...
2019.2.21 区块链论文翻译
weixin_33985507的博客
02-21 226
The Art of The Scam: Demystifying Honeypots in Ethereum Smart Contracts University of Luxembourg 现代区块链,例如以太坊,可以执行所谓的智能合约 - 在分散的区块链网络中执行的程序。随着智能合约变得越来越流行并带来更多价值,它们成为攻击者的一个有趣目标。在过去几年中,发现一些智能合约易受攻击,因此被...
网络安全领域之-蜜罐技术
最新发布
柳岸花又明的博客
11-15 1966
其次是高交互蜜罐,高交互蜜罐是相对于低交互蜜罐而言的,是在开放相关端口的基础之上增加了一些仿真的服务或者应用在里面,达到一个更好迷惑攻击者视线的一个效果,一般此类蜜罐,像web类蜜罐会在护网或者重保期间通过防火墙,或者路由器映射在用户互联网出口处,“故意”让攻击者去攻击“蜜罐”这样的话,蜜罐就可以在攻击者打到真实业务之前就锁定攻击者的ip,以至提前做出相关的策略、响应。所以说,蜜罐的部署方式基本是依照与该厂商蜜罐的特性而言的,蜜罐的部署需要考虑多个因素,如蜜罐的类、部署位置、操作系统、应用程序等。
【网络安全】什么是蜜罐和蜜网
好记性不如烂笔头
11-21 3191
文章目录前言一、蜜罐的作用二、蜜罐的分类三、蜜罐的重定向机制四、蜜罐的欺骗性五、蜜信六、其他总结 前言 原始的攻击,总是攻击者处于主动地位,防御者处于被动地位,蜜罐和蜜网可以扭转对抗不对称局面。蜜罐就像一个专门为攻击者设计的陷阱,只要攻击者进入陷阱,攻击者所作的一切操作都会被记录下来,这些攻击行为记录对攻击者来说会有一定的威慑作用。 一、蜜罐的作用 从前言里大概可以了解到蜜罐是干什么的,蜜罐的作用可以总结为如下几点: 1、增加攻击者攻击成本,攻击的是蜜罐模拟出来的假目标。 2、使用蜜罐可以捕获攻击者是谁
2019.2.15 区块链论文翻译
weixin_33800593的博客
02-15 285
SoK: Transparent Dishonesty: front-running attacks on Blockchain. Concordia University 我们认为前端运行是一种行动方式,其中实体受益于先前访问有关即将进行的交易和交易的特权市场信息。 自20世纪70年代以来,前沿运行一直是金融工具市场的一个问题。 随着区块链技术的出现,前线运行重新浮现在我们在这里探索的新形式...
Smart contract security Papers
Metaverse
11-19 868
[SP’20]VeriSmart: A Highly Precise Safety Verifier for Ethereum Smart Contracts [SP’20]VerX:Safety Verification of Smart Contracts [VSTTE’19]solc-verify:A Modular Verifier for Solidity SC [Arxive]Smar...
从零开始制作一个Web蜜罐扫描器
04-26
首先,蜜罐本质上是一个陷阱,伪装成真实服务,但内部包含预设的逻辑或漏洞,比如上文提到的前端js代码中的直接验证,使得攻击者一旦触发,就会暴露身份。蜜罐的用途主要体现在利用jsonp(JSONP)这种跨域技术来窃取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

懒编程-二两

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值