第142篇 合约安全-重入锁

已于 2022-10-28 15:09:30 修改
阅读量2.3k 收藏 1
点赞数
分类专栏: 区块链应用 文章标签: 安全 区块链 以太坊 智能合约 solidity
于 2022-10-28 13:56:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wonderBlock/article/details/127570250
版权
区块链应用 专栏收录该内容
114 篇文章 713 订阅 ¥39.90 ¥99.00
订阅专栏

本篇介绍最常见的一种智能合约攻击-重入攻击,它曾导致以太坊分叉为 ETH 和 ETC(以太经典),并介绍如何避免它。

1.重入攻击

重入攻击是智能合约中最常见的一种攻击,攻击者通过合约漏洞(例如fallback函数)循环调用合约,将合约中资产转走或铸造大量代币。

著名的重入攻击事件:2016年,The DAO合约被重入攻击,黑客盗走了合约中的 3,600,000 枚 ETH,并导致以太坊分叉为 ETH 链和 ETC(以太经典)链。

距离 The DAO 被重入攻击已经6年了,但每年还是会有几次因重入漏洞而损失千万美元的项目,因此理解这个漏洞非常重要。

0xAA 抢bank的故事

为了让大家更好理解,这里讲一个"黑客0xAA抢bank"的故事。

以太坊bank的柜员都是机器人(Robot),由智能合约控制。当正常用户(User)来bank取钱时,它的服务流程:

  1. 查询用户的 ETH 余额,如果大于0,进行下一步。
  2. 将用户的 ETH 余额从bank转给用户,并询问用户是否收到。
  3. 将用户名下的余额更新为0

一天黑客 0xAA 来到了bank,这是他和机器人柜员的对话:

  • 0xAA : 我要取钱,1 ETH
  • Ro
了解本专栏 订阅专栏 解锁全文
wonderBlock
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
ReenTrantLock可重入(和synchronized的区别)总结
qq838642798的博客
03-23 5万+
ReenTrantLock可重入(和synchronized的区别)总结 可重入性: 从名字上理解,ReenTrantLock的字面意思就是再进入的,其实synchronized关键字所使用的也是可重入的,两者关于这个的区别不大。两者都是同一个线程没进入一次,的计数器都自增1,所以要等到的计数器下降为0时才能释放。   的实现: Synchronized是依赖于JVM实现的
深入理解重入攻击漏洞
SierraW的博客
07-06 2226
前言 智能合约(英文:Smart contract )的概念于 1995 年由 Nick Szabo 首次提出,它是一种旨在以信息化方式传播、验证或执行合同的计算机协议,它允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。然而智能合约也并非是安全的,其中 重入 (Re-Entrance) 攻击漏洞是以太坊中的攻击方式之一,早在 2016 年就因为 The DAO 事件而造成了以太坊的硬分叉。 漏洞概述 在以太坊中,智能合约能够调用其他外部合约的代码,由于智能合约可以调用外部合约或者发送以太币,
解析简单的solidity重入保护合约
聊聊技术和工具,偶尔说说管理
03-22 453
Solidity 重入攻击是当我们用 address.call 的形式进行转账时,如果合约制定者没有指定 fallback 函数,有恶意的外部合约可能会调用当前合约的这个转账函数时 自定义一个 fallback,在 fallback 中再次转账,这样就陷入了不断取款的循环,直到我们的合约没有余额、Gas 不够、调用栈超出。
到底什么是重入,拜托,一次搞清楚!
chifei4963的博客
06-27 355
相信大家在工作或者面试过程中经常听到重入这个概念,或者与关键字 synchrozied 的对比,栈长面试了这么多人,80%的面试者都没有答对或没有答到点上,或者把双重效验搞混了,哭笑不得。。 那么你对重入了解有多少呢?今天,栈长帮大家撕开重入的面纱,来见识下重入的真实容颜。。 什么是...
智能合约开发-食品溯源合约
10-17
食品溯源合约是一种基于区块链技术的智能合约,旨在提供食品产地信息和供应链透明度。该合约可以确保食品安全、减少食品欺诈以及追踪食品来源。 该合约的实现方式是通过在区块链上记录食品相关数据并将其存储在不可...
Three King Doms - 智能合约安全审计报告1
08-04
审计过程中,团队会特别关注如重入漏洞、重放漏洞、短地址漏洞等常见安全问题。 报告内容涵盖项目介绍、审计方法、审计详情、审计结果和声明。项目Three King Doms是一个GameFi应用,基于NFT-HERO孵化,涉及集卡、...
区块链安全-智能合约安全与防护.pdf
08-08
区块链的现状 智能合约
M-A-R:智能合约重入漏洞的动态符号执行检测
03-05
MAR 智能合约重入漏洞的动态符号执行检测
Smart-Contract-Audits:智能合约安全审核报告
03-16
智能合同审计
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 588
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 472
一站式云安全托管限时试用 开启全能高效攻防
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1107
区分不同的签名。
【ROS2】高级:安全-部署指南
cxyhjl的博客
07-21 313
目标:了解将安全工件部署到生产系统时的最佳实践。教程级别:高级时间:20 分钟内容背景先决条件一般准则构建部署场景生成 Docker 镜像理解 compose 文件运行示例检查容器背景典型的部署场景通常涉及将容器化的应用程序或软件包发送到远程系统。在部署启用安全性的应用程序时应特别注意,要求用户考虑打包文件的敏感性。遵循 DDS 安全标准 https://www.omg.org/s...
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 600
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue中的安全最佳实践。
高性能、安全、低碳绿色的趋势下,锐捷网络发布三擎云办公解决方案 3.0
CSDN云计算
07-18 1236
去确保性能体验流畅。与上一代产品相比,三擎云办公 3.0 新增 130+功能特性,不仅充分对标了主流云桌面平台的核心功能,如热补丁升级与第三方存储和计算平台支持,还通过一系列创新技术,如智能透明加密技术,独享应用虚拟化技术,增强协议技术,智能 IO 调度技术等,在体验、安全、降本、增效等多个维度上展现出差异化优势。近日,锐捷网络重磅发布了三擎云办公解决方案 3.0,针对新趋势下挑战,一口气推出了 130 多项功能特性,希望为用户构建一个集安全、高效、体验于一身,实现成本优化的云桌面办公系统环境。
简析漏洞生命周期管理的价值与关键要求
最新发布
XRY_XIAO的博客
07-22 689
简析漏洞生命周期管理的价值与关键要求
从人工巡检到智能防控:智慧油气田安全生产的新视角
TSINGSEE青犀视频官方技术博客
07-18 1053
远程视频监控:支持7/24小时实时高清视频监控,视频画面1、4、9、16个可选,支持自定义视频轮播。
nginx的配置:TLSv1 TLSv1.1 被暴露不安全
keyboard专栏
07-22 65
要在 Nginx 配置中禁用不安全的 SSL 协议(如 TLSv1 和 TLSv1.1),并仅启用更安全的协议(如 TLSv1.2 和 TLSv1.3),您可以更新您的 Nginx 配置文件。这样,您的 Nginx 服务器将只允许更安全的 TLSv1.2 和 TLSv1.3 协议,并且禁用不安全的 TLSv1 和 TLSv1.1。
智能合约安全剖析:重入攻击与溢出漏洞
"Smart Contract Security – Overview PT 1" 是一关于智能合约安全的深入分析文章,由 Joas Santos撰写,链接为 <https://www.linkedin.com/in/joas-antonio-dos-santos>。本文主要探讨了在区块链领域中,智能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wonderBlock

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值