智能合约的安全

最新推荐文章于 2023-07-23 09:15:00 发布
最新推荐文章于 2023-07-23 09:15:00 发布
阅读量98 收藏
点赞数
原文链接:http://www.cnblogs.com/mambakb/p/10111220.html
版权

智能合约的安全问题一直是编写智能合约的关键点。多数的智能合约都是开源的,源码公布更容易被黑客找到攻击的漏洞。 
这里将一些常见的,易犯的错误。首先我们先看看下面这段代码:

contract text{
    address owner;
    function userWallet() public{
        owner == msg.sender;
    }
    
    function transferto(address add,uint num) public payable{
        if(tx.origin == owner){
            add.transfer(num);
        }
    }
}

  

这里先讲讲其中tx.origin和msg.sender不同。msg.sender指的是调用合约的地址,而tx.origin指的是发起transaction的地址。举个例子,看下面的代码。

pragma solidity^0.4.7;
contract c1{
    address add1;
    address add2;
    function findAdd() public {
        add1 = msg.sender;
        add2 = tx.origin;
    }
    function getAdd1() public returns(address){
        return add1;
    }
    function getAdd2() public returns(address){
        return add2;
    }
}
contract differ{
    address public a1;
    address public a2;
    function f1() public {
        c1 c = new c1();
        c.findAdd();
        a1 = c.getAdd1();
        a2 = c.getAdd2();
    }
}

  

执行完合约后,a1就是合约differ的地址,而a2是调用合约diiffer的地址,也就是发起transaction的地址。上面简单讲了tx.origin和msg.sender的区别。接下来我们回到第一个合约中,这个合约实现了一个转账的功能·。但这个合约存在bug。黑客可以利用这个漏洞进行攻击。比如下面这段代码

contract attack{
  address hack;
  constructor() public{
    hack = msg.sender;
  }
  function () external{
    text(msg.sender).transferto(hack,msg.sender.balance);
  }
}

  

只要让第一个text合约就会触发attack合约中的匿名函数,这时就会向hack地址转账了。因此在text合约中应该使用msg.sender而不是tx.origin。

接下来还有一个不容易被找出来的错误,比如下面的合约

pragma solidity^0.4.7;
contract fund{
    mapping(address=>uint) num;
    function transferto(address add)public payable{
        if(num[add] != 0){
            add.transfer(num[add]);
            num[add] = 0;
        }
    }
}

  

这个合约实现一个兑换的功能,可以将每个address中所占的数兑换成以太币,黑客可以实现这样一个合约

contract attack{
    address hack;
    constructor()public{
        hack = msg.sender;
    }
    function () external {
        fund(msg.sender).transferto(hack);
    }
}

  

这样合约fund每次转账都会调用attack合约的匿名函数,而匿名函数中又会调用合约fund中的转账。便会一直重复,这时候为了防止这种情况。可以改成下面的代码

contract fund{
    mapping(address=>uint) num;
    function transferto(address add)public payable{
        uint temp = num[add];
        if(temp != 0){
            num[add] = 0;
            add.transfer(temp);
        }
    }
}

  

将兑换的num在转账之前重置为0。这样即使用上述的代码进行攻击亦不会再次执行转账了。

 

转载于:https://www.cnblogs.com/mambakb/p/10111220.html

weixin_30478619
关注
应用于数字藏品的智能合约都有哪些安全风险?如何有效防范?
qq_32193015的博客
05-31 1453
国内数字藏品在技术上与NFT并无太大差别,也是通过智能合约来实现业务逻辑,所以合约漏洞等安全问题在国内数字藏品上也会存在,我们需谨慎对待。下面我们就来看看数字藏品在智能合约实现中存在的安全问题和解决方案。 数字藏品与智能合约 什么是智能合约? 为什么数字藏品的安全问题离不开对智能合约的讨论呢?因为,数字藏品在技术上是通过智能合约实现并运行的。在讨论数字藏品智能合约安全问题之前,我们先来看看什么是智能合约。 20世纪90年代,Nick Szabo首次提出智能合约的概念。当时,他把智能合...
201806 智能合约安全之形式化验证研究报告.pdf
06-27
### 智能合约安全之形式化验证研究报告 #### 一、智能合约安全领域分类——智能合约安全的分类 智能合约安全方面的措施大致可以分为以下几类:合约开发模板、合约审计、智能合约语言设计以及赏金猎人机制。 1. **...
基于区块链的智能合约安全
强子的专栏
09-12 5405
智能合约定义和实际应用举例 最近,区块链技术已经成为很多行业游戏规则的变革者,在比特币中涌现的分布式分类技术在数字货币之外也有了非常广阔的应用前景。 区块链技术最有前途的一个应用就是开发智能合约智能合约是自我执行合约,在智能合约中,合约条款由代码规定。基本上,这意味着可以用计算机程序编写具有法律效力的合约,而且这个合约可以自动执行。 至少在1996年Nick Szabo 就提出了这一概...
智能合约安全(一):以太坊机制及安全问题
热门推荐
Exploit的小站~
09-26 3万+
在本系列中,我们将对以太坊现有的安全问题和前沿的各类型漏洞挖掘方法进行综述。本文是本系列的第一篇文章,主要介绍以太坊的机制和存在的安全问题的分类。 01 什么是以太坊智能合约? 以太坊智能合约基于区块链(Blockchain)技术,作为一种旨在以信息化方式传播、验证或执行的计算机协议,为各类分布式应用服务提供了基础。简单来讲:如果把比特币看作是分布式的记账本;以太坊便是可以运行程序的分布式计算平台,程序运行的基础则是Solidity智能合约智能合约早在1995年就由尼克萨博提出,
智能合约安全问题
张童鞋
11-03 8670
前言本文主要总结以太坊智能合约安全漏洞。新加坡国立大学的Loi Luu提出了现在的智能合约存在的几种安全漏洞1。然而,由于智能合约目前还只是初级阶段,相信各种安全问题会不断的发现。智能合约中的安全漏洞交易顺序依赖合约交易顺序依赖就是智能合约的执行随着当前交易处理的顺序不同而产生差异。例如,有两个交易T[i]和T[j],两个区块链状态S[1]和S[2],并且S[1]状态处理完交易T[j]后才能转化为
以太坊智能合约安全入门了解一下(下)
omnispace的博客
05-29 4479
作者:RickGray作者博客:http://rickgray.me/2018/05/26/ethereum-smart-contracts-vulnerabilities-review-part2/(注:本文分上/下两部分完成,上篇链接《以太坊智能合约安全入门了解一下(上)》) 接上篇3. Arithmetic Issues算数问题?通常来说,在编程语言里算数问题导致的漏洞最多的就是整数溢出了,...
智能合约安全审计
摔不死的笨鸟的博客
07-23 570
区块链智能合约安全审计
什么是智能合约安全审计
xingxincsdn的博客
09-09 2725
智能合约安全审计会对项目的智能合约代码进行检查和评论。通常情况下,这些合约会用 Solidity 编程语言编写,并由 GitHub 提供。若 DeFi 项目要处理的区块链交易价值数百万美元或有大量参与者,则安全审计尤其有价值。审计通常遵循以下四个步骤:将智能合约提供给审计组进行初步分析。审计组将他们的发现提交给项目组,供其采取行动。项目组根据发现的问题进行修改。审计组会将新的修改和悬而未决的错误考虑在内,然后发布最终报告。对于许多加密用户而言,在投资新的 DeFi 项目时,智能合约审计不可或缺。
智能合约安全综述.docx
05-29
智能合约安全综述.docx
区块链智能合约安全开发.pdf
08-08
智能合约安全开发 相关概念 安全事件 审计之路 常见漏洞 常用工具
智能合约最佳实践:智能合约安全最佳实践指南
02-05
1. **智能合约安全基础** 智能合约安全性不仅关乎代码的正确性,还涉及到合约设计、部署和交互过程中的安全性。理解EVM(以太坊虚拟机)的工作原理和Solidity编程语言的基本语法是编写安全合约的前提。 2. **...
区块链智能合约安全分析.pptx
06-01
### 区块链智能合约安全分析 #### 一、智能合约漏洞类型分析 **1. 输入验证缺陷** - **缺乏输入验证**:智能合约如果未能有效地验证用户输入的数据,则可能会受到攻击者的非法输入,进而触发异常行为或者未经授权...
智慧合约智能合约安全问题的AI解决方案
weixin_34392435的博客
05-02 621
“一支穿云箭,千军万马来相见”。 在经历三个月“漫长熊市”后,从4月中旬开始,EOS的一个拉升,形成了数字货币市场大牛市的壮观景象。可是在美链BeautyChain(BEC)的智能合约漏洞被黑客利用、随意刷币,SmartMesh(SMT)智能合约再次爆出相同漏洞,并在OKex上出现大规模异常交易后,整个市场随即进入大幅震荡的情形。在了解事情经过后,我们不禁要问,为何小小的漏洞会引发如此大的动静?...
基于深度学习的行人分类.zip
09-21
深度学习是机器学习的一个子领域,它基于人工神经网络的研究,特别是利用多层次的神经网络来进行学习和模式识别。深度学习模型能够学习数据的高层次特征,这些特征对于图像和语音识别、自然语言处理、医学图像分析等应用至关重要。以下是深度学习的一些关键概念和组成部分: 1. **神经网络(Neural Networks)**:深度学习的基础是人工神经网络,它是由多个层组成的网络结构,包括输入层、隐藏层和输出层。每个层由多个神经元组成,神经元之间通过权重连接。 2. **前馈神经网络(Feedforward Neural Networks)**:这是最常见的神经网络类型,信息从输入层流向隐藏层,最终到达输出层。 3. **卷积神经网络(Convolutional Neural Networks, CNNs)**:这种网络特别适合处理具有网格结构的数据,如图像。它们使用卷积层来提取图像的特征。 4. **循环神经网络(Recurrent Neural Networks, RNNs)**:这种网络能够处理序列数据,如时间序列或自然语言,因为它们具有记忆功能,能够捕捉数据中的时间依赖性。 5. **长短期记忆网络(Long Short-Term Memory, LSTM)**:LSTM 是一种特殊的 RNN,它能够学习长期依赖关系,非常适合复杂的序列预测任务。 6. **生成对抗网络(Generative Adversarial Networks, GANs)**:由两个网络组成,一个生成器和一个判别器,它们相互竞争,生成器生成数据,判别器评估数据的真实性。 7. **深度学习框架**:如 TensorFlow、Keras、PyTorch 等,这些框架提供了构建、训练和部署深度学习模型的工具和库。 8. **激活函数(Activation Functions)**:如 ReLU、Sigmoid、Tanh 等,它们在神经网络中用于添加非线性,使得网络能够学习复杂的函数。 9. **损失函数(Loss Functions)**:用于评估模型的预测与真实值之间的差异,常见的损失函数包括均方误差(MSE)、交叉熵(Cross-Entropy)等。 10. **优化算法(Optimization Algorithms)**:如梯度下降(Gradient Descent)、随机梯度下降(SGD)、Adam 等,用于更新网络权重,以最小化损失函数。 11. **正则化(Regularization)**:技术如 Dropout、L1/L2 正则化等,用于防止模型过拟合。 12. **迁移学习(Transfer Learning)**:利用在一个任务上训练好的模型来提高另一个相关任务的性能。 深度学习在许多领域都取得了显著的成就,但它也面临着一些挑战,如对大量数据的依赖、模型的解释性差、计算资源消耗大等。研究人员正在不断探索新的方法来解决这些问题。
机械制造工艺学课程设计手柄座设计“手柄座”零件的机械加工工艺规程及工艺装备.doc
09-21
机械制造工艺学课程设计手柄座设计“手柄座”零件的机械加工工艺规程及工艺装备.doc
电子设计论文通用红外遥控开关电子设计论文通用红外遥控开关
09-21
电子设计论文通用红外遥控开关电子设计论文通用红外遥控开关
软考-信息管理师考试知识汇总思维导图
09-21
软考--信息管理师考试知识汇总思维导图,包含项目十大管理领域知识点汇总提取,项目整合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理、项目采购管理、项目干系人管理等章节所有知识点通过思维导图的形式汇总出来,看图就理解本章所有的知识块以及他们之间的联系。归纳总结,帮助考试复习记忆,加深对 本章节内容的理解。适合时间少,没时间完整看完教材的人,在段时间内帮助理解记性,是考试前冲刺的好帮手。软考高级越来越难考了,为了方便大家能考过,希望大家早点准备,好好考复习资料,多看,多想,多记忆,多思考,多归纳总结。
STM32F103C8T6+CUBEMX+AHT20+中断(DMA)+BT04蓝牙
最新发布
09-21
STM32F103C8T6+CUBEMX+AHT20+中断(DMA)+BT04蓝牙
基于 PyTorch 的 3D 计算机视觉处理库.zip
09-21
基于 PyTorch 的 3D 计算机视觉处理库.zip
智能合约安全漏洞测试
07-28
智能合约安全漏洞测试是一项重要的任务,它有助于发现和修复合约中的潜在漏洞。以下是一些常见的智能合约安全漏洞测试方法: 1. 静态分析:使用静态代码分析工具,如Mythril、Slither、Securify等,对合约代码进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值