《我学区块链》—— 十五、以太坊安全之 Solidity 类型漏洞

最新推荐文章于 2024-06-03 16:02:52 发布
最新推荐文章于 2024-06-03 16:02:52 发布
阅读量378 收藏 1
点赞数
分类专栏: 《我学区块链》 文章标签: Solidity漏洞 无法撤回
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuguangyuansh/article/details/81303062
版权

十五、以太坊安全之 Solidity 类型漏洞

漏洞描述

       2016年10月30日,以太坊的智能合约开发语言 Solidity 本身,被发现存在安全漏洞。

       目前只知道这是一个 Solidity 数据类型的漏洞,影响了智能合约中一些地址以及数据类型,由于漏洞的详细情况实在无法找到,这里先占个位,待以后补充。

       但也不是全无所得,具体可参考下面 [目前情况]。

目前情况

       1、漏洞发布的两天后,2016年11月01日,Solidity 推出了修复版 0.4.4,但已经发布的有问题合约仍旧无法升级。

       2、由于发现及时,这一漏洞不会影响到太多合约,据 Solidity 语言的创造者 Christian Reitwiessner表示,其通过对 etherscan 上的合约程序进行 “半自动” 分析,发现在 12,000 个合约当中,只有 4个是有问题的,且这些合约中都没有以太币。

       3、这次问题主要是由 Solidity 源码编译到字节码时发生的,鉴于以太坊及 Solidity 都是较新的事物,问题一定会很多,而 Solidity 语言又保持着快速更新,因此,我们在编译智能合约时尽可能都升级到最新的 Solidity 版本。

       4、另一个避免智能合约安全问题的思路是,缩短它们的运行时间,定期迭代新的合约,以减少影响的发生。

       5、还一个思路是设置每次交易资金的上限。

探路人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
solidity漏洞实践(二)
m0_68764244的博客
10-07 459
三个solidity的复杂题型实践
Solidity智能合约编程漏洞及对策
weixin_33935777的博客
05-28 185
2019独角兽企业重金招聘Python工程师标准>>> ...
solidity常见漏洞!学习并规避它
最新发布
weixin_74163644的博客
06-03 1897
因为签名这笔交易的地址为 Alice 的 EOA 地址,所以对于 Wallet 合约来说 tx.origin 就是 Alice 的 EOA 地址,所以 Eve 成功利用钓鱼伪造了 Alice 的身份,通过了权限检查并成功将 Wallet 合约中的以太转移到了自己的账户中。在Polygon上,重组的深度可以达到30个或更多的区块,所以等待更少的区块会使应用变得脆弱(当zk-evm成为Polygon上的标准共识时,这种情况可能会改变,因为最终性将与以太坊的一致,但这是未来的预测,而不是目前的事实)。
零时科技|solidity智能合约基础漏洞——重入漏洞
m0_37598434的博客
02-25 3807
区块链领域的安全问题不容忽视,这就要求开发者必须时刻小心谨慎,养成防御性编程思维
solidity 特性导致的漏洞
SHELLCODE_8BIT的博客
12-14 1467
由于合约设置参与者每次提交的 Ether 数为 0.5,提交多次后就会达到10 Ether,因此攻击者就可以创建带有 selfdestruct() 函数的合约,通过 selfdestruct() 函数强制给它提供 0.1 Ether,当强制转入的 0.1 Ether 进入条件判断,最终的计算数值将永远不会成为整数,this.balance==finalMileStone 判断将永远不会成立,导致参与者永远不会获得奖励。浮点型,定长浮点型——Solidity目前暂时不支持浮点型,也不完全支持定长浮点型。
Solidity 合约安全,常见漏洞 (上篇)
dzqxwzoe的博客
03-06 948
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…上面列出的问题是智能合约被黑的主要途径,但还有很多其他的根本原因,可以串联成重大问题,下面记录了这些问题。给管理员的权力太少。
以太坊Solidity未初始化存储指针安全风险浅析.pdf
08-08
0x00 引子 0x01 分析过程 0x02 解决方案 0x03 参考链接
Solidity以太坊智能合约的Solidity Programs
02-13
坚固性以太坊智能合约的Solidity Programs
10个优化以太坊智能合约gas利用的solidity代码模式
01-08
目前以太坊的利用在逐渐增长,而交易手续费成本也水涨传告 —— 现在每天的gas成本已经高达数百万美元。随着以太坊生态系统的扩大,Solidity智能合约开发者也需要关注gas利用的优化问题了。本文将介绍在使用Solidity...
漏洞分析」以太坊Solidity未初始化存储指针安全风险浅析 - web安全.zip
11-28
以太坊Solidity是用于构建智能合约的主要编程语言,它为去中心化的应用程序(DApps)提供了基础。然而,如同任何编程语言一样,Solidity也存在潜在的安全风险,其中之一便是未初始化的存储指针问题。本文将深入探讨...
开发和部署以太坊DApp——投票系统1
08-04
Solidity语言可以编译成EVM字节码,运行在以太坊虚拟机上。 Voting.sol合约 在这个示例中,我们将编写一个简单的投票系统合约。这个合约使用Solidity语言编写,提供了一个投票机制,允许用户投票选举候选人。合约...
solidity漏洞实践(一)
m0_68764244的博客
06-20 301
漏洞源码如下 这里面我发现了两个漏洞 一是在transfer中可能出现uint256溢出漏洞 二是在fakeflashloan中可能出现的call注入漏洞 于是 要拿到flag的第一个条件可用溢出漏洞解决 第二个条件可用call注入漏洞解决 一. 成功满足第一个require二. 成功满足第二个require调用complete函数后成功获取flag! 由于自己本身对该漏洞方面的题目不是很熟悉,所以几乎是看了别人的解决方法自己动手实践了一次,请多见谅。...
零时科技|solidity智能合约基础漏洞——整数溢出漏洞
m0_37598434的博客
02-24 3915
黑客往往会利用溢出构造一个极小值/极大值,从而绕过某些检查,使巨额恶意转账得以成功。
智能合约安全Solidity函数默认可见性漏洞
StevenX5
05-09 1651
Solidity 中,函数有可见性类型,指示函数被允许如何被调用。可见性决定了函数是否可以由用户、其他派生合约、仅在内部或外部调用。函数默认为公共的,即允许用户或合约从外部调用它们。不正确地使用函数可见性可能会导致智能合约中的一些破坏性漏洞。本文通过 Solidity 函数默认可见性漏洞原理的阐述,并结合智能合约实例代码的演示,介绍了一种函数默认可见性漏洞的原理及其解决方法。
solidity 合约权限授权_智能合约:整数溢出、访问控制缺陷漏洞与跨合约调用漏洞...
weixin_39956451的博客
11-25 1228
整数溢出:漏洞简介:简单来说,就是Solidity整形变量被赋值高于或者低于可以表示的范围时 值会发生改变 一般会溢出为2的uint类型次方 -1 或者 0:**上溢:会溢出为0下溢:会溢为2*n-1 如果是uint256 即为:2的256次方 -1漏洞通常出现地方:1.条件检测的地方容易出现2.任何计算的地方都可能出现规避方法:1.在solidity中运算之前 必须对输入和输出进行有效...
长文 | 深度解析Solidity让老司机翻车的17个坑及超详细避坑指南,建议先马后看(附送独家资源)...
区块链大本营
08-12 3576
作者:Dr Adrian Manning译者:老曹、Aholiab说起Solidity,虽然还很初级,但无疑已成为今天区块链开发的常用语言之一,今天以太坊智能合约的很多字...
智能合约随想——一些简单的Solidity智能合约漏洞/攻击
weixin_73794026的博客
04-25 846
一个没啥干货的Solidity智能合约审计随想,外加一些杂七杂八的知识,大佬们轻点喷QAQ
solidity编写智能合约的安全漏洞问题(二)
Messi-Q Blog
08-30 3569
智能合约是“不可变的”。一旦部署,它们的代码是不能更改的,导致无法修复任何发现的bug。 在潜在的未来里,整个组织都由智能合约代码管控,对于适当的安全性需求巨大。过去的黑客如TheDAO或去年的Parity黑客(7月、11月)提高了开发者们的警惕,还有很长的路要走。 常见的 Solidity漏洞类型: Reentrancy - 重入 Access Control - 访问控制 Ari...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值