智能合约编程/Dapp漏洞 -- 默认可见性修饰符

最新推荐文章于 2021-01-09 21:27:40 发布
最新推荐文章于 2021-01-09 21:27:40 发布
阅读量155 收藏
点赞数 1
文章标签: python 区块链
原文链接:https://my.oschina.net/gavinzheng731/blog/3005368
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

Solidity函数有visibility指定符,标明函数如何被允许访问。Visibility决定一个函数是否能被用户,被其他派生合约,从外部调用,仅从内部调用等等。有4个visibility指定符.函数默认的visibility指定符是public – 允许用户外部调用。visibility 指定符的不正当使用可能导致灾难性的漏洞。

攻击原理

函数默认的visibility指定符是public。没有指定函数visibility指定符的话,那就被认定是public,意味着该函数就会允许外部用户调用。当开发程序员对本应该是private(只能从合约内部访问调用)的函数错误的没有指定visibility指定符,就会引入漏洞。请看下面的例子:

contract HashForEther {

   

    function withdrawWinnings() {

        // Winner if the last 8 hex characters of the address are 0.

        require(uint32(msg.sender) == 0);

        _sendWinnings();

     }

    

     function _sendWinnings() {

         msg.sender.transfer(this.balance);

     }

}

 

这个简单的合约是一个猜地址获取奖励的游戏。用户必须生成一个以太坊地址,如果它的16进制的后8位都是0,就可以赢得游戏。一旦赢得游戏,他们就可以通过调用WithdrawWinnings()函数来获得奖励。但是,很不幸,函数的visibility并没有被指定,特别是_sendWinnings() 函数是public 并且任何地址都可以调用这个函数来偷取奖励。

防护技术

在智能合约编程的时候,最好给所有函数来指定函数的visibility,即使他们是intentionally public. 最近的Solidity版本加入了对未显式指定visibility指定符的编译警告。

转载于:https://my.oschina.net/gavinzheng731/blog/3005368

weixin_34023863
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
智能合约编程/Dapp漏洞 -- 浮点数精度Floating Points and Precision
weixin_33969116的博客
03-08 442
2019独角兽企业重金招聘Python工程师标准>>> ...
智能合约编程/Dapp漏洞 -- 交易授权/Tx.Origin Authentication
weixin_34187862的博客
02-25 563
2019独角兽企业重金招聘Python工程师标准>>> ...
以太坊知识教程------智能合约(3)函数修饰符
thefist的专栏
01-09 365
solidity的五个关键字修饰符, 以及它们的含义 操作 定义 public 公有,任何人(拥有以太坊账户的)都可以调用. private 私有, 只有智能合约内部可以调用 view/constant 函数不会修改任何contract的数据,constant可以用于修饰常量和常函数。 pure 函数不使用任何智能合约的变量 payable 调用函数需要付钱,钱付给了智能合约的账户 内部调用:调用同一合约中的函数 内部调用对应 EVM 指令集中的 JUMP 指令,所以
solidity智能合约[34]-合约继承与可见
weixin_34387468的博客
11-25 183
继承继承是面向对象语言的重要特征。继承是为了模拟现实中的现象,并且可以简化代码的书写。例如猫与够都属于动物。他们都继承动物的某些特征。继承语法当前合约继承父类合约的属和方法。123456789101112131415161718192021222324252627contract 合约名 is 父类合约名{}``` ...
智能合约投票系统Dapp(truffle + react + solidity)编程作业
01-08
智能合约投票系统Dapp(truffle + react + solidity)编程,附带中英文使用说明安装依赖网址,有界面,可以前后端交互。非搬运,纯原创工程。
智能合约(4)智能合约DAPP、Ethereum Studio
01-07
DAPP其实是基于区块链的一种去中心化APP应用,这种应用可以通过编写智能合约来实现业务功能,DAPP与区块链和智能合约的关系如下图: DAPP中的业务逻辑由智能合约完成,然后DAPP可以依托区块链完成相应的任务。 ...
Python-EOS智能合约DApp开发入门实战教程
08-10
EOS智能合约DApp开发入门实战教程:课程帮助你快速入门EOS区块链去中心化应用的开发,内容涵盖EOS工具链、账户与钱包、智能合约开发与部署、代币发行、使用代码与合约交互等核心知识点,并结合React完成一个便签...
以太坊智能合约编程(2):DApp框架,工具以及工作流程
01-08
在Truffle出现之前的那个夏天,我目睹了一帮有天分的学生是如何不眠不休的参加一个hackathon(编程马拉松)活动的,虽然结果相当不错,但我还是吓到了。然后Truffle出现了,帮你处理掉大量无关紧要的小事情,让你...
event-logger-dapp:示例DAPP旨在利用以太坊智能合约和IPFS在区块链上记录事件并将JSON文件存储到IPFS
02-03
事件记录器-dapp 示例DAPP旨在利用以太坊智能合约和IPFS在区块链上记录事件并将JSON文件存储到IPFS。 要运行此应用程序,必须安装正在运行的程序: IPFS- //ipfs.io/ geth- //geth.ethereum.org/downloads/ 在启动...
EOS dApp 漏洞盘点分析-EOSBet 假充值漏洞
m0_37598434的博客
03-08 584
Written by WeaponX@零时科技 本文所有过程均在本地测试节点完成 文章用到的所有代码均在 https://github.com/NoneAge/EOS_dApp_Security_Incident_Analysis 0x00 背景 EOSBet在2018年9月14日遭到黑客攻击,根据EOSBet官方通告,此次攻击共被盗44,427.4302 EOS(折合人民币160万,9月14日价...
EOS dApp 漏洞盘点-EOSDice弱随机数漏洞
m0_37598434的博客
03-08 361
Written by WeaponX@零时科技 本文所有过程均在本地测试节点完成 文章用到的所有代码均在 https://github.com/NoneAge/EOS_dApp_Security_Incident_Analysis 0x00 背景 零时科技监测到,EOSDice在2018年11月10日受到黑客攻击,根据EOSDice官方通告,此次攻击共被盗4,633 EOS,约合 2.51 万美元...
EOS dApp 漏洞盘点分析-EOSBet 假充值漏洞2
m0_37598434的博客
03-08 452
Written by WeaponX@零时科技 本文所有过程均在本地测试节点完成 文章用到的所有代码均在 https://github.com/NoneAge/EOS_dApp_Security_Incident_Analysis 0x00 背景 EOSBet在2018年10月14日遭到黑客攻击,根据EOSBet官方通告,此次攻击共被盗142,845 EOS(折合人民币510万,10月14日价格)...
DApp中“要命”的随机:合约随机数安全问题解析
Fly_鹏程万里
11-20 3364
公链上目前存在为数众多的竞猜类DApp。竞猜类游戏的逻辑就是生成无法预测的随机数,玩家公平竞猜。安全的随机数生成器可以保证所有玩家在游戏中的竞猜是公平的,玩家的获胜概率也是相同的。但是近期多个EOS和以太坊平台DApp因为随机数生成漏洞被黑客攻击。如EOS的Luckyos、EOS.Win、EosDice,以太坊上的Fomo3D。 针对这种情况,北京链安的安全专家Hardman就公链DApp中...
深入浅出—智能合约Dapp 开发
01-17
讲师:李琦,Qtum 量子链中国高级研发工程师,Qtum 企业版核心研发工程师,拥有丰富的智能合约Dapp开发经验,现从事Qtum 企业版的核心研发工作。本次课程会以区块链的基础与本质为出发点,将区块链的去中心化、去信任的变革型特点做清晰地解读,对基于虚拟机的智能合约在UTXO区块链系统之上的运行逻辑做完整的梳理。课程的开发工作基于Qtum量子链平台,会将在Qtum上做Dapp开发所需要的工具链和流程与技能讲解清楚,后期开发课程全部以实战为主,精心设计的Dapp demo为大家展示完整的Dapp开发流程,通过代码的展示带领大家一步步深入Dapp的开发。
智能合约漏洞攻击事件_智能合约百科全书攻击漏洞
weixin_26747751的博客
09-14 6121
智能合约漏洞攻击事件Applications on Ethereum manage financial value, making security absolutely crucial. As a nascent, experimental technology, smart contracts have certainly had their fair share of attacks. 以太...
智能合约的常见漏洞
weixin_33862188的博客
09-25 2512
目录: 1. 重入(Reentrancy) [1, 2, 3] 2. Call to the unknown [1] 3. Gasless send [1, 3] 4. Exception disorder/Mishandled Exceptions [1, 2, 3] 5. Type casts [1] 6. Keeping secrets [1] 7. Ether lost in trans...
solidity学习笔记(2)——状态变量和函数可见
lj900911的专栏
10-13 1610
因为Solidity有两种函数调用:内部调用:不创建一个真实的EVM调用(也称为“消息调用”);外部的调用:要创建一个真实的EMV调用, 在智能合约中,函数和状态变量的可见可以分为四种, public , private , internal 和 external ,函数默认可见是 public ,状态变量的默认可见是 internal 。public - (任意访问,作为合约接口)可以通...
以太坊智能合约Solidity的优化
u012310362的博客
10-14 1460
存储中状态变量 静态大小的变量(除映射和动态大小的数组类型之外的所有内容)在从位置开始的存储中连续布局0。根据以下规则,如果可能,将需要少于32个字节的多个项目打包到单个存储槽中: • 存储槽中的第一项存储为低阶对齐。 • 基本类型仅使用存储它们所需的许多字节。 • 如果基本类型不适合存储槽的剩余部分,则将其移动到下一个存储槽。 • 结构和数组数据总是从一个新的槽开始并占据整个槽(但是根据这些规则...
区块链智能合约dapp应用实战电子版
最新发布
08-04
DApp(去中心化应用)是构建在区块链上的应用程序,与传统的中心化应用不同,DApp使用智能合约来管理和执行应用逻辑,数据存储在区块链上,确保信息的可靠和安全。 实战电子版指的是对区块链智能合约DApp应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值