智能合约安全之Solidity函数默认可见性漏洞

最新推荐文章于 2022-11-20 20:09:13 发布
置顶 最新推荐文章于 2022-11-20 20:09:13 发布
阅读量1.6k 收藏 1
点赞数 2
分类专栏: 区块链 文章标签: 智能合约 安全 以太坊
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyq55917/article/details/124674311
版权

漏洞原理

在 Solidity 中,函数有可见性类型,指示函数被允许如何被调用。可见性决定了函数是否可以由用户、其他派生合约、仅在内部或外部调用。函数有四个可见性类型(关于函数的可见性详见另一篇博文 Solidity语言详解——函数和状态变量的可见性及Getter函数)。Solidity 中的函数默认为公共的,即允许用户或合约从外部调用它们。不正确地使用函数可见性可能会导致智能合约中的一些破坏性漏洞。

安全隐患

Solidity 中函数的默认可见性是 public。因此,没有指定任何可见性的函数将被外部用户或合约调用。当开发人员错误地忽略了应该是私有 (或仅在合约内部可调用) 的函数的可见性说明时,问题就出现了。

让我们来看一下这个合约例子:

// SPDX-License-Identifier: MIT
pragma solidity ^0.4.18;

contract HashForEther {
    function withdrawWinnings() {
        // Winner if the last 8 hex characters of the address are 0.
        require(uint32(msg.sender) == 0);
        withdraw();
     }

     function withdraw() {
         msg.sender.transfer(this.balance);
     }
}

这个简单的合约被设计成一个地址猜测赏金游戏。为了赢得合约的余额,用户必须生成一个最后 8 个十六进制字符为 0 的以太坊地址。一旦获得,它们可以调用 withdraw() 函数来获得奖励。

不幸的是,合约中函数的可见性没有被指定。特别是,withdraw() 函数是公共的,因此任何合约都可以调用该函数来窃取奖金。

如何预防

最好总是在合约中指定所有函数的可见性,即使它们是有意公开的。Solidity 的最新版本现在会在编译过程中对没有显式指定可见性的函数显示警告或错误提示,这样就可以预防此类错误的发生。

以下是经修复后的合约代码,通过将 withdraw() 的可见性设置为 private 来限制该函数仅允许在合约内部调用。

// SPDX-License-Identifier: MIT
pragma solidity ^0.4.18;

contract HashForEtherFixed {
    function withdrawWinnings() public {
        // Winner if the last 8 hex characters of the address are 0.
        require(uint32(msg.sender) == 0);
        withdraw();
     }

     function withdraw() private {
         msg.sender.transfer(this.balance);
     }
}
StevenX5
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
智能合约安全——溢出漏洞
FingerNFT的博客
07-28 749
如果一个合约有溢出漏洞的话会导致计算的实际结果和预期的结果产生非常大的差异,这样轻则会影响合约的正常逻辑,重则会导致合约中的资金丢失。所以这个参数可以认为在攻击者的角度是不可用的。1.deposit函数存在两个运算操作,第一个是影响用户存入的余额balances的,这里传入的参数是可控的所以这里会有溢出的风险,另一个是影响用户的锁定时间lockTime的,但是这里的运算逻辑是每次调用deposit存入代币时会给lockTime增加一周,由于这里的参数不可控所以这个运算不会存在溢出风险。...
安全连载——CSDN区块链大本营出品
CSDN 人工智能
10-29 915
史上杀伤力最大的溢出型漏洞到底是什么?看这一篇就够了 | 第1期 4月发生的BEC事件以及SMT事件已经沉淀一段时间了,具体的情况也被多方媒体所报道,相关的漏洞根源问题也有很多大神团队的分析和指正。近日,有安全团队将各种已经发生或可能发生的类似溢出漏洞原理进行整理,再次将全方位的原理分析与大家分享,让大家对溢出型漏洞有全面的认识。 “冰封”合约背后的老牌劲敌——拒绝服务漏洞 | 第2期 目前区块...
零时科技|solidity智能合约基础漏洞——重入漏洞
m0_37598434的博客
02-25 3786
区块链领域的安全问题不容忽视,这就要求开发者必须时刻小心谨慎,养成防御编程思维
解密智能合约TOP10安全漏洞
热门推荐
softgmx的博客
11-22 1万+
以下都是来自我的新作《解密EVM机制及合约安全漏洞》里的内容 电子版PDF下载:https://download.csdn.net/download/softgmx/10800947   重入问题 漏洞成立的条件: 合约调用带有足够的gas 有转账功能(payable) 状态变量在重入函数调用之后 底层转账函数 防重入 错误处理 ...
以太坊Solidity智能合约安全之短地址或参数攻击漏洞的原理及预防
StevenX5
05-19 1619
这个漏洞发生在第三方合约或应用程序调用智能合约时。当将参数传递给智能合约时,参数将根据 ABI 规范进行编码。第三方合约可以发送比预期参数长度短的编码参数。在这种情况下,EVM 将在编码参数的末尾填充 0,以弥补预期的长度。这样,当智能合约不验证输入时,这就会成为一个问题。最明显的例子是,当用户请求提款时,交易所不验证 ERC20 令牌的地址。本文介绍了以太坊Solidity智能合约的短地址/参数攻击漏洞原理、攻击方法和预防措施。
智能合约编写之Solidity的高级特
02-24
优秀的Solidity编程实践也应符合这一原则:每个合约都清晰、合理地定义函数的可见,暴露最少的信息给外部,做好对内部函数可见的管理。同时,正确地修饰函数和变量的类型,可给合约内部数据提供不同级别的保护,...
【CryptoZombies – 1 Solidity 教程】014 函数可见
01-08
二、 函数可见 1、回顾 我们之前讲函数权限,讲到函数可以设置公有和私有,当初设置私有是因为:不是任何时候,其他合约都可以调用某个合约中的函数,而且容易受到攻击。所以一般情况下,将函数定义为私有,只有...
区块链实战(3):用Solidity实现投票智能合约
06-09
本课程是《区块链实战》系列专题的第3个课程。本课程用Solidity语言实现了一个支持投票功能的智能合约
《我学区块链》—— 十五、以太坊安全Solidity 类型漏洞
xuguangyuansh的博客
07-31 375
十五、合约安全Solidity 类型漏洞 漏洞描述        2016年10月30日,以太坊智能合约开发语言 Solidity 本身,被发现存在安全漏洞。      &am
solidity 合约权限授权_智能合约:整数溢出、访问控制缺陷漏洞与跨合约调用漏洞...
weixin_39956451的博客
11-25 1219
整数溢出:漏洞简介:简单来说,就是Solidity整形变量被赋值高于或者低于可以表示的范围时 值会发生改变 一般会溢出为2的uint类型次方 -1 或者 0:**上溢:会溢出为0下溢:会溢为2*n-1 如果是uint256 即为:2的256次方 -1漏洞通常出现地方:1.条件检测的地方容易出现2.任何计算的地方都可能出现规避方法:1.在solidity中运算之前 必须对输入和输出进行有效...
solidity漏洞实践(二)
m0_68764244的博客
10-07 454
三个solidity的复杂题型实践
Solidity-可见(五)
sdsdjjd的博客
11-07 239
函数、状态变量可见
solidity:4.函数可见与修饰符
qq_34793644的博客
01-07 1万+
一. 函数可见 public - 支持内部或外部调用 private - 仅在当前合约合约调用,且不可被继承 internal- 只支持内部调用 external - 不支持内部调用 // SPDX-License-Identifier: GPL-3.0 pragma solidity ^0.8.0; contract VisibilityA{ uint public x; function t1() public pure returns(string memory) {
35.Solidity-默认生成的函数
Shark_CSB的博客
11-20 95
Solidity-public等默认生成**方法
Solidity 内置全局函数
houyanhua1的专栏
04-01 1298
demo.sol(内置全局函数): pragma solidity ^0.4.21; contract Test { bytes32 public blockhash; address public coinbase; uint public difficulty; uint public gaslimit; uint public ...
solidity智能合约[34]-合约继承与可见
weixin_34387468的博客
11-25 183
继承继承是面向对象语言的重要特征。继承是为了模拟现实中的现象,并且可以简化代码的书写。例如猫与够都属于动物。他们都继承动物的某些特征。继承语法当前合约继承父类合约的属和方法。123456789101112131415161718192021222324252627contract 合约名 is 父类合约名{}``` ...
Solidity函数的权限
Rankis的博客
03-14 1307
Solidity函数的权限 1.Solidity实现一个类(智能合约): pragma solidity ^0.4.4; /* pragma:版本声明 solidity:开发语言 0.4.4:当前合约大版本,0.4代表主版本,.4代表修复bug的升级版 ^:代表向上兼容,0.4.4~0.4.9可以对我们当前的代码进行编译 */ //contract Person 类比 class Pers...
solidity学习笔记(2)——状态变量和函数可见
lj900911的专栏
10-13 1612
因为Solidity有两种函数调用:内部调用:不创建一个真实的EVM调用(也称为“消息调用”);外部的调用:要创建一个真实的EMV调用, 在智能合约中,函数和状态变量的可见可以分为四种, public , private , internal 和 external ,函数默认可见是 public ,状态变量的默认可见是 internal 。public - (任意访问,作为合约接口)可以通...
智能合约之所以容易受到安全漏洞影响的原因
最新发布
05-23
智能合约容易受到安全漏洞影响的原因有以下几点: 1. 代码难以修改:智能合约一旦发布,其代码就无法修改。这意味着一旦合约存在漏洞,攻击者可以一直利用该漏洞,而无法通过修改代码来解决问题。 2. 编程语言复杂:智能合约使用的编程语言通常比较复杂,例如Solidity,这使得开发人员容易犯错,例如不正确地处理输入数据、不正确地处理异常情况等。 3. 智能合约的逻辑复杂:智能合约通常涉及许多复杂的逻辑和条件,例如交易验证、访问控制、资金管理等。这些复杂的逻辑可能会导致错误或安全漏洞。 4. 智能合约的缺陷难以发现:由于智能合约的复杂和代码无法修改的特智能合约的缺陷往往难以发现。当安全漏洞被发现时,已经造成了损失。 5. 智能合约的交互增加了风险:智能合约通常需要与其他合约、钱包和外部服务进行交互。这增加了智能合约受到攻击的风险,因为攻击者可能会利用其他合约或服务的漏洞来攻击智能合约

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

StevenX5

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值