以太坊智能合约漏洞梳理:为何DeFi安全事件频发

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

以太坊智能合约的安全问题主要是因为其「过于灵活」引起的,灵活性和安全性如同天平的两端。

原文标题:《以太坊智能合约为何安全漏洞频发?》撰文:谈国鹏,Ownbit创始人

最近,随着DeFi火热,以太坊智能合约安全漏洞频发。究竟是什么原因造成的,以及如何更好地防范这些漏洞?

概述

相比于比特币而言,以太坊更易发生安全事故。这主要是因为以太坊虚拟机是图灵完备的,以太坊可实现函数间相互调用、嵌套调用,智能合约间相互调用等各种复杂逻辑。而比特币只实现了基于栈的非图灵完备的虚拟机,并只能通过操作码进行入栈和出栈操作。另外比特币也没有复杂的DApp应用,所以逻辑上简单,故而没有太多空间引发安全漏洞。

以太坊上各种DApp复杂的智能合约逻辑是引发安全漏洞的主因。以太坊智能合约的安全漏洞主要可以分为逻辑问题和合约代码问题两种。

逻辑问题

最近频繁的「闪电贷」攻击是一个典型的逻辑问题引起的安全漏洞。在各种闪电贷攻击中你可以看到清晰的逻辑问题。攻击者只要制造出两个系统之间的价格差,便能通过闪电贷攻击获利。

闪电贷攻击的逻辑细节大家可以阅读之前一篇专门讲闪电贷的文章:「造富神器」闪电贷。本文主要阐述合约代码问题。

合约代码问题

我们知道,几乎稍微复杂一点的代码都或多或少地存在问题(bug)。了解出现问题的原因,并且归纳问题类别可以帮助我们更好地防范它们。下面是Ownbit钱包团队整理的关于以太坊智能合约安全最容易出现问题的点。

【重入(Reentrancy)】这是排名第一的问题。所谓「重入」就是一个方法被多次循环调用。而这通常是合约开发者所意想不到的。例如一个取款合约:

functionwithdrawEtherpublic{uintamount=userBalances[msg.sender];(boolsuccess,)=msg.sender.call.value(amount)("");//这里重入require(success);userBalances[msg.sender]=0;}

这是一段很简单的取款合约,让用户取走他的ETH余额。开发者并没有意识到这段代码可能会被重入。方法是:只要调用者是一个合约账户,那么msg.sender.call将默认调用该合约账户的fallback函数。攻击者只需要在其fallback函数再次调用withdrawEther就可以源源不断地取走ETH。

发生在2016年6月,著名的TheDAO攻击,从而导致了ETC分叉的事件,就是通过同样的方法实施攻击的。从事后看来,这只是一个小小的程序问题(却造成了如此严重的后果)。要修复这个问题也非常容易,只需要将两行代码调换顺序即可:

userBalances[msg.sender]=0;(boolsuccess,)=msg.sender.call.value(amount)("");

【让你的交易不打包】以太坊区块的打包机制是按照给予的矿工费(GasPrice)进行优先打包,并且每个区块有总GasLimit的限制(目前为每区块1200万Gas)。所以攻击者可以制造出若干使用GasLimit非常大,并且GasPrice给得非常高的交易,让它们优先占满区块,从而让目标交易无法被打包。

所以,在编写合约逻辑时,不能假设你的交易会在有限时间内被打包,否则就容易受到此类攻击。著名的「Fomo3D」事件就是用了

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/72031.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年08月25日
下一篇 2023年08月25日

相关推荐

  • 以太坊挖矿数量怎么来的,每年挖矿会产生多少以太坊

    一、以太坊怎么挖矿与所有区块链技术一样,以太坊使用基于激励的安全模型。声称是网络中的矿工的任何节点都可以尝试创建并阻止验证区。世界各地的许多矿工正在同时创建和验证区块。一、以太坊采矿的基本原则1、与所有区块链技术一样,以太坊使用基于激励的安全模型。声称是网

    2024-11-25 04:30:02
    4 0
  • 如何选择以太坊矿池,以太坊如何挖矿

    一、以太坊是如何挖矿的以太坊的代币是通过采矿过程中产生的,每块采矿率为 5个以太币。以太坊的采矿过程几乎与比特币相同,对于每一笔交易,矿工都可以使用计算机通过散列函数运行该块的唯一标题元数据,反复,快速地猜出答案,直到其中一人获胜。许多新用户认为,采矿的唯一

    2024-11-25 02:30:02
    3 0
  • 以太经典etc涨到多少,以太坊经典

    一、区块链中的硬分叉,以太经典ETC是什么意思以太经典(ETC)简史以太经典始于一个不幸的事件。2016年5月,去中心化自治组织(DAO)举行了一次代币销售,目标是建立一个基于区块链的风险投资,以资助Ethereum生态系统内未来的去中心化应用(DApps)。基本上,DAO是一个去中心化方

    2024-11-25 01:30:01
    4 0
  • 哪个钱包能存以太经典ETC币,以太坊经典

    一、etc以太经典值得长期持有吗1.以太经典是否可以长期持有还要看它后期的表现。ETC是以太坊分叉币,也是大家近期大家口中的末日战车,总量只有1亿,目前的市值第十八名,类属主流价值币种。目前的价格已上涨到44美元左右,伴随着不断试探1万压力位的行情,牛市来的时候应该还

    2024-11-24 13:30:01
    4 0
  • 钱包ETH如何发到众筹地址,以太坊钱包地址在哪里

    一、以太坊钱包地址在哪里***如何买卖以太坊以太坊(英文Ethereum)是一个开源的有智能合约功能的公共区块链平台,通过其专用加密货币以太币(Ether,简称“ETH”)提供去中心化的以太虚拟机(Ethereum Virtual Machine)来处理点对点合约。以太坊的概念首次在2013至2014年间

    2024-11-24 09:00:01
    5 0
  • 以太坊erc20代币如何发,ERC20代币的六个基本功能是什么

    一、ERC20代币的六个基本功能是什么什么是ERC20?ERC20是用于提议改进以太坊(ETH)网络的官方协议。ERC代表以太坊请求评测,而20是提案标识符或唯一的ID号,以区分该标准与其他标准。这是在以太坊区块链上创建令牌的通用标准,该令牌标准定义了一组适用于所有ERC20令牌的规则

    2024-11-24 07:00:01
    4 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载