以太坊智能合约漏洞梳理:为何DeFi安全事件频发

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

以太坊智能合约的安全问题主要是因为其「过于灵活」引起的,灵活性和安全性如同天平的两端。

原文标题:《以太坊智能合约为何安全漏洞频发?》撰文:谈国鹏,Ownbit创始人

最近,随着DeFi火热,以太坊智能合约安全漏洞频发。究竟是什么原因造成的,以及如何更好地防范这些漏洞?

概述

相比于比特币而言,以太坊更易发生安全事故。这主要是因为以太坊虚拟机是图灵完备的,以太坊可实现函数间相互调用、嵌套调用,智能合约间相互调用等各种复杂逻辑。而比特币只实现了基于栈的非图灵完备的虚拟机,并只能通过操作码进行入栈和出栈操作。另外比特币也没有复杂的DApp应用,所以逻辑上简单,故而没有太多空间引发安全漏洞。

以太坊上各种DApp复杂的智能合约逻辑是引发安全漏洞的主因。以太坊智能合约的安全漏洞主要可以分为逻辑问题和合约代码问题两种。

逻辑问题

最近频繁的「闪电贷」攻击是一个典型的逻辑问题引起的安全漏洞。在各种闪电贷攻击中你可以看到清晰的逻辑问题。攻击者只要制造出两个系统之间的价格差,便能通过闪电贷攻击获利。

闪电贷攻击的逻辑细节大家可以阅读之前一篇专门讲闪电贷的文章:「造富神器」闪电贷。本文主要阐述合约代码问题。

合约代码问题

我们知道,几乎稍微复杂一点的代码都或多或少地存在问题(bug)。了解出现问题的原因,并且归纳问题类别可以帮助我们更好地防范它们。下面是Ownbit钱包团队整理的关于以太坊智能合约安全最容易出现问题的点。

【重入(Reentrancy)】这是排名第一的问题。所谓「重入」就是一个方法被多次循环调用。而这通常是合约开发者所意想不到的。例如一个取款合约:

functionwithdrawEtherpublic{uintamount=userBalances[msg.sender];(boolsuccess,)=msg.sender.call.value(amount)("");//这里重入require(success);userBalances[msg.sender]=0;}

这是一段很简单的取款合约,让用户取走他的ETH余额。开发者并没有意识到这段代码可能会被重入。方法是:只要调用者是一个合约账户,那么msg.sender.call将默认调用该合约账户的fallback函数。攻击者只需要在其fallback函数再次调用withdrawEther就可以源源不断地取走ETH。

发生在2016年6月,著名的TheDAO攻击,从而导致了ETC分叉的事件,就是通过同样的方法实施攻击的。从事后看来,这只是一个小小的程序问题(却造成了如此严重的后果)。要修复这个问题也非常容易,只需要将两行代码调换顺序即可:

userBalances[msg.sender]=0;(boolsuccess,)=msg.sender.call.value(amount)("");

【让你的交易不打包】以太坊区块的打包机制是按照给予的矿工费(GasPrice)进行优先打包,并且每个区块有总GasLimit的限制(目前为每区块1200万Gas)。所以攻击者可以制造出若干使用GasLimit非常大,并且GasPrice给得非常高的交易,让它们优先占满区块,从而让目标交易无法被打包。

所以,在编写合约逻辑时,不能假设你的交易会在有限时间内被打包,否则就容易受到此类攻击。著名的「Fomo3D」事件就是用了

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/72031.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年08月25日
下一篇 2023年08月25日

相关推荐

  • 以太钱包有什么意思,btc是什么意思

    一、eth挖矿是什么原理ETH通过挖矿产生,平均大概每13秒产生2个块,挖矿的时候,矿工使用计算机去计算一道函数计算题的答案,直到有矿工计算到正确答案即完成区块的打包信息,而作为第一个计算出来的矿工将会得到2枚ETH的奖励。如果矿工A率先算出正确的答案,那么矿工A将获得

    2024-11-05 22:30:01
    1 0
  • 散户挖以太坊什么显卡,显卡挖矿是什么意思为什么显卡价格和挖矿有关

    一、普通区块链怎么挖,区块链怎么赚钱矿机区块链是什么,怎么用区块链赚钱?区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。所谓共识机制是区块链系统中实现不同节点之间建立信任、获取权益的数学算法。区块链的赚钱方法:1、推广赚佣金

    2024-11-05 20:30:02
    4 0
  • 以太币总市值多少,比特币多少钱一个

    一、eth挖两个小时收益多少官网地址大家好,今天链应用来为大家关于eth计算收益(ETH算力收益计算)很多人还不知道,现在让我们一起来看看吧1370天收益率为2994元,即每月2008美元,按照eth的实时价值计算为8982元。2一个70年代的人,一天赚2017元。3按照ETH的实时币价,一个月

    2024-11-05 16:30:01
    4 0
  • 以太坊是指什么用,什么是以太

    一、什么是以太***以太网***以太坊揭开以太、以太网和以太坊的神秘面纱以太,一个源自古希腊哲学的词汇,原指一种无形无质、充满宇宙的神秘介质。早在公元前3世纪,亚里士多德以五元素理论赋予它独特的地位,然而,随着科学的进步,以太的神秘色彩逐渐被科学理性取代。笛卡尔

    2024-11-05 16:30:01
    4 0
  • 以太币和挖矿什么意思,显卡挖矿是什么意思为什么显卡价格和挖矿有关

    一、显卡挖矿是什么意思为什么显卡价格和挖矿有关作为一个曾经“梦想一夜暴富,最后血本无归”的“老矿工”,来回答这个问题,本文尽量用通俗的语言来描述一下挖矿、显卡挖矿和显卡价格的一些相关问题。“挖矿”是什么意思?简单来讲,挖矿就是产生数字货币的意思,数字货币有

    2024-11-05 15:30:02
    4 0
  • 以太经典是什么东东,etc区块链是什么

    一、比光速更快的是什么真空光速是已知的最大速度,没有比光速更快的。光在真空中的速率是299,792,458米/秒,约310ˆ5千米/秒,是已知的速度上限。光速是指光波或电磁波在真空或介质中的传播速度。真空中的光速是目前所发现的自然界物体运动的最大速度。扩展资料真空光速

    2024-11-05 12:00:01
    4 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载