智能合约编程/Dapp漏洞 -- 浮点数精度Floating Points and Precision

最新推荐文章于 2024-03-05 14:04:14 发布
最新推荐文章于 2024-03-05 14:04:14 发布
阅读量437 收藏 2
点赞数
文章标签: python
原文链接:https://my.oschina.net/gavinzheng731/blog/3019752
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

到Solidity v0.4.24为止,Solidity并不支持定点数和浮点数。这意味着浮点数的表示必须要用Solidity的整数来表示。如果实现不正确的话,会导致合约漏洞。

攻击原理

由于Solidity里并没有浮点数,程序员需要用标准的整型来自己实现浮点类型。在这个过程中,有一系列的陷阱,这里会介绍其中几个。

下面是程序示例 (简单起见,请忽略其中可能的over/under flow 问题)

contract FunWithNumbers {

    uint constant public tokensPerEth = 10;

    uint constant public weiPerEth = 1e18;

    mapping(address => uint) public balances;

    function buyTokens() public payable {

        uint tokens = msg.value/weiPerEth*tokensPerEth; // convert wei to eth, then multiply by token rate

        balances[msg.sender] += tokens;

    }

    function sellTokens(uint tokens) public {

        require(balances[msg.sender] >= tokens);

        uint eth = tokens/tokensPerEth;

        balances[msg.sender] -= tokens;

        msg.sender.transfer(eth*weiPerEth); //

    }

}

 

这个简单的token买卖合约有几个明显的问题。尽管计算公式是对的,但是由于Solidity缺乏浮点数支持会导致错误的结果。比如在第7行买tokens on line [7], 如果买的数额小于1 ether的话,最初的除法结果是0,导致最后的结果也是0。同样的,在卖tokens的时候小于10最后结果也会是0。实际上,取整一直是向下取整,所以卖29tokens,最终结果是2 token.

这个合约的问题在于精度在最接近的ether (i.e. 1e18 wei)。如果在ERC20合约里需要高精度的话,情况会很复杂。

防护方式

保持正确的精度在智能合约编程中是非常重要的,特别是在处理比率和兑换率的场合。你必须尽量保证分子比较大。比如在例子中,我们使用了兑换率tokensPerEth。此处最好使用weiPerTokens以保证分子是个比较大的数。在想获取token的数量的时候使用msg.value/weiPerTokens.这样会保证高精度

另外一个要注意的是关于操作的次序问题。在上面的例子中,在计算购买tokens的数额时,使用了msg.value/weiPerEth*tokenPerEth。必须注意这里除法在乘法之前。最好把乘法放在除法之前比如msg.value*tokenPerEth/weiPerEth.

最后,为了执行数学运算,最好定义一个虚拟的精度数,把所有的变量都变换成一个高精度数,只有在输出的时候在把他们变换回来。一般,我们会使用uint256类型(可以省Gas费),范围大致有大概60位其中有些位可以用来保持精度。在Solidity合约中最好把所有的变量都变换成一个高精度数,在外部的app中的时候在把他们变换回来。 这也是ERC20中Decimal类型工作的方式。建议去学习Maker DAO合约的DSMath库看看是如何实现的。

转载于:https://my.oschina.net/gavinzheng731/blog/3019752

weixin_33969116
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
智能合约投票系统Dapp(truffle + react + solidity)编程作业
01-08
智能合约投票系统Dapp(truffle + react + solidity)编程,附带中英文使用说明安装依赖网址,有界面,可以前后端交互。非搬运,纯原创工程。
这些智能合约漏洞,可能会影响你的账户安全!
华为云官方博客
08-04 2480
摘要:区块链联盟链智能合约形式化验证揭秘,解释了我们为什么要对区块链上的智能合约进行形式化验证,以及形式化验证的分类和业界针对每种分类所推出的形式化验证工具,最后作者描述了一下目前形式化验证的种种方法所面临的问题及对于这个领域技术发展的展望。
小心!智能合约再爆高危漏洞,两大加密货币直接变废纸!
区块链大本营
06-06 1101
大家都还记得,前一段时间发生的BEC智能合约的安全漏洞问题。近日,智能合约安全问题再次上演,火币Pro发布公告,暂停EDU冲提币业务,随后EDU智能合约被爆出存在严重漏洞...
【论文阅读】关于智能合约漏洞检测
最新发布
RuRu_Bai的博客
03-05 1389
两篇论文,都是关于智能合约漏洞检测的综述文章[1]崔展齐,杨慧文,陈翔等.智能合约安全漏洞检测研究进展[J/OL].软件学报:1-33[2024-03-05].https://doi.org/10.13328/j.cnki.jos.007046.[2]王丹,黄松,王兴亚.以太坊智能合约测试研究综述[J].信息技术与信息化,2023(10):52-58.两篇文章中主要内容都是总结了13种常见的漏洞类型并进行简单介绍、几类测试方法以及未来的工作和展望。
分析智能合约漏洞
csds319的博客
07-09 2528
前几天又爆出新合约漏洞,可以查看着篇文章观看详细内容:https://mp.weixin.qq.com/s/MNXXdKmjqRLng53noP10ig因为之前没写过智能合约,没看明白为什么会出问题,请教了同事才了解清楚图1如上图所示,出现问题的是81行,但是为什么这句话会导致出现问题,allowed又是什么呢allowed是账户持有者调用approve后的结果,看下approve函数的代码图2如...
智能合约安全——溢出漏洞
FingerNFT的博客
07-28 732
如果一个合约有溢出漏洞的话会导致计算的实际结果和预期的结果产生非常大的差异,这样轻则会影响合约的正常逻辑,重则会导致合约中的资金丢失。所以这个参数可以认为在攻击者的角度是不可用的。1.deposit函数存在两个运算操作,第一个是影响用户存入的余额balances的,这里传入的参数是可控的所以这里会有溢出的风险,另一个是影响用户的锁定时间lockTime的,但是这里的运算逻辑是每次调用deposit存入代币时会给lockTime增加一周,由于这里的参数不可控所以这个运算不会存在溢出风险。...
CTF技能宝典之智能合约#重入漏洞
m0_37598434的博客
12-31 715
前言 近年来,各个大型CTF(Capture The Flag,中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)比赛中都有了区块链攻防的身影,而且出现的题目绝大多数都是区块链智能合约攻防。此系列文章我们主要以智能合约攻防为中心,来剖析智能合约攻防的要点,前两篇我们分享了合约反编译,反汇编的基础内容。后续的文章中,我们会继续分享CTF比赛中智能合约常见题型(重入,整数溢出,空投,随机数可控等)及解题思路,相信会给读者带来不一样的收获。 本篇我们先来分享CTF比赛中的重
Python-EOS智能合约与DApp开发入门实战教程
08-10
EOS智能合约与DApp开发入门实战教程:课程帮助你快速入门EOS区块链去中心化应用的开发,内容涵盖EOS工具链、账户与钱包、智能合约开发与部署、代币发行、使用代码与合约交互等核心知识点,并结合React完成一个便签...
智能合约(4)智能合约、DAPP、Ethereum Studio
01-07
DAPP其实是基于区块链的一种去中心化APP应用,这种应用可以通过编写智能合约来实现业务功能,DAPP与区块链和智能合约的关系如下图: DAPP中的业务逻辑由智能合约完成,然后DAPP可以依托区块链完成相应的任务。 ...
以太坊智能合约编程(2):DApp框架,工具以及工作流程
01-08
Truffle and Embark. 是Truffle把我领进了门。在Truffle出现之前的那个夏天,我目睹了一帮有天分的学生是如何不眠不休的参加一个hackathon(编程马拉松)活动的,虽然结果相当不错,但我还是吓到了。然后Truffle出现...
event-logger-dapp:示例DAPP旨在利用以太坊智能合约和IPFS在区块链上记录事件并将JSON文件存储到IPFS
02-03
事件记录器-dapp 示例DAPP旨在利用以太坊智能合约和IPFS在区块链上记录事件并将JSON文件存储到IPFS。 要运行此应用程序,必须安装正在运行的程序: IPFS- //ipfs.io/ geth- //geth.ethereum.org/downloads/ 在启动...
智能合约新型漏洞详情
Messi-Q Blog
08-29 846
3.新型漏洞详情 3.1.underSell: 高卖低收(CVE-2018-11811) 管理员通过修改合约中的参数来制造溢出漏洞,导致用户提币转出token之后,却收不到ETH(或收到极少量ETH),造成用户经济损失。 漏洞实例:合约Internet Node Token (INT) 漏洞所在位置:红色标注的行L175 漏洞攻击效果:用户提币之后,无法得到对应数额的ETH; 漏洞原理:se...
智能合约常见10个漏洞
sinat_34996559的博客
01-03 2274
1. Reentrancy also known as or related torace to empty,recursive call vulnerability,call to the unknown This exploit was missed in review so many times by so many different people: reviewers tend to review functions one at a time, and assume that call...
安全连载——CSDN区块链大本营出品
CSDN 人工智能
10-29 912
史上杀伤力最大的溢出型漏洞到底是什么?看这一篇就够了 | 第1期 4月发生的BEC事件以及SMT事件已经沉淀一段时间了,具体的情况也被多方媒体所报道,相关的漏洞根源问题也有很多大神团队的分析和指正。近日,有安全团队将各种已经发生或可能发生的类似溢出漏洞原理进行整理,再次将全方位的原理分析与大家分享,让大家对溢出型漏洞有全面的认识。 “冰封”合约背后的老牌劲敌——拒绝服务漏洞 | 第2期 目前区块...
智能合约经典漏洞案例,xSurge 重入漏洞+套利 综合运用
09-27 1896
再看下漏洞存在的 sell 方法中的关键代码,sell 方法有 nonReentrant 修饰符,存在对重入攻击的防范措施,所以在 sell 函数执行完之前,攻击者是无法再次进入到 sell 函数中的。在漏洞利用中,攻击者也没有利用漏洞再次进行 sell 函数,而是利用漏洞后进入 purchase 函数。本次合约代码中存在的漏洞利用与传统的重入攻击有些区别。
CertiK:SushiSwap智能合约漏洞事件分析
systemino的博客
09-02 555
北京时间8月28日,CertiK安全研究团队发SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况独步下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。 技术解析 MasterChief.sol:131 图片来源:https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterC...
智能合约编程/Dapp漏洞 -- 交易授权/Tx.Origin Authentication
weixin_34187862的博客
02-25 551
2019独角兽企业重金招聘Python工程师标准>>> ...
智能合约编程/Dapp漏洞 -- 默认可见性修饰符
weixin_34023863的博客
01-24 153
2019独角兽企业重金招聘Python工程师标准>>> ...
区块链智能合约与dapp应用实战电子版
08-04
区块链智能合约是一种基于区块链技术的智能化合约,它通过编写智能合约代码,实现了自动化执行、验证和执行合约条件的功能。区块链智能合约具有去中心化、透明、安全等特点,可以用于各种领域的应用。 DApp(去中心化应用)是构建在区块链上的应用程序,与传统的中心化应用不同,DApp使用智能合约来管理和执行应用逻辑,数据存储在区块链上,确保信息的可靠性和安全性。 实战电子版指的是对区块链智能合约与DApp应用进行实际操作和开发的电子版本。通过实战电子版,用户可以学习如何编写智能合约代码,了解区块链技术的应用场景,以及如何开发DApp应用。 实战电子版可以提供一系列的案例和示例代码,提供操作指南和开发工具,帮助用户深入理解区块链智能合约与DApp应用的原理和使用方法。用户可以通过实践和模拟操作来学习,并将所学知识应用到实际的区块链项目中。 通过实战电子版,用户可以学习到智能合约的编写和部署、DApp应用的开发和测试、区块链节点的搭建和管理等相关知识。同时,实战电子版还可以提供实时更新和维护,以适应区块链技术的不断发展和更新。 总而言之,区块链智能合约与DApp应用实战电子版是一种通过实践和模拟操作来学习和探索区块链技术的电子学习资源,对于理解、应用和开发区块链相关项目具有重要意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值