belluminarbank是俄羅斯戰隊在WCTF上出的一道EVM題目,其中用到了很多ETH中經典的漏洞。雖然難度都不是很大,但是如果對EVM相關特性不了解的話還是有一定難度的,我們就來介紹一下ETH智能合約中的安全問題。
這道題的題目是一個存儲交易類合約,用戶可以通過給合約發送ether實現將ether存儲在合約中的目的。攻擊者的目標就是將存儲在這個合約里的所有ether全部取走。
我們不講這個WCTF的題目,主要是了解智能合約中的安全問題有哪些,危害多大;
就以太坊智能合約的安全漏洞。新加坡國立大學的LoiLuu提出了現在的智能合約存在的幾種安全漏洞。然而,由于智能合約目前還只是初級階段,相信各種安全問題會不斷的發現。
重入漏洞:
也被稱為或與空競爭,遞歸調用漏洞,未知調用等。
Ark Invest昨日增持840萬美元Coinbase股票:金色財經報道,Cathie Wood 旗下 Ark Invest 昨日再度增持 840 萬美元 Coinbase 股票。
此前報道,4 月 25 日,Ark Invest 增持近 860 萬美元的 Coinbase 股票。[2023/5/2 14:38:16]
菲爾戴安說過:這種漏洞在很多時候被很多不同的人忽略:審閱者傾向于一次一個地審查函數,并且假定保護子例程的調用將安全并按預期運行。
重入攻擊介紹:
1.重入攻擊,可能是最著名的以太坊漏洞;第一次被發現時,每個人都感到驚訝。
2.它在數百萬美元的搶劫案中首次亮相,導致了以太坊的分叉。
3.當初始執行完成之前,外部合同調用被允許對調用合同進行新的調用時,就會發生重新進入。
Clearpool第四季度已回購超300萬枚CPOOL代幣:12月9日消息,去中心化借貸市場Clearpool發布公告稱,已使用協議收入125383枚USDC執行了2022年第四季度回購計劃,共回購3099103.21枚CPOOL并已全數銷毀。[2022/12/9 21:34:14]
4.對于函數來說,這意味著合同狀態可能會在執行過程中因為調用不可信合同或使用具有外部地址的低級函數而發生變化。
在以太坊中,當一個合約調用另一個合約的時候,當前的操作就要等到調用結束之后才會繼續。這時,如果被調用者需要使用調用者當前所處的狀態,那么這就產生了問題。
著名的DAO攻擊事件就是因為這個漏洞而發生的。
示例:
1.個聰明的合同跟蹤些外部地址的平衡,并允許戶通過其公共資檢索withdraw()功能。
分析師:資金短缺依然是限制BTC和ETH價格上漲的主要原因:8月4日消息,鏈上分析師Phyrex發推表示,從Glassnode的數據統計來看,目前尚未有明顯的數據表明有大量的資金從外部轉移進幣圈,所以按照目前的局面來看,資金的短缺依然是限制BTC和ETH價格上漲的主要原因。[2022/8/4 12:01:53]
2.個惡意的智能合同使withdraw()函數檢索其全部余額。
3.在更新惡意合同的余額之前,受害者合同執call.value(amount)()低級別函數將以太發送給惡意合同。
4.該惡意合同有個付fallback()接受資的功能,然后回調到受害者合同的withdraw()功能。
5.第次執會觸發資轉移:請記住,惡意合同的余額尚未從次提款中更新。結果,惡意合同第次成功退出了全部余額。
波士頓咨詢集團:到2030年加密貨幣將達到10億用戶:金色財經報道,全球管理咨詢公司波士頓咨詢集團(BCG)表示,在散戶和機構投資者的推動下,加密貨幣的采用可能會進一步加速。?在7月22日發表的一篇研究論文中,報告稱,如果我們使用加密貨幣持有者的數量作為 Web3 用戶的代表,并將其與 1990 年代互聯網用戶的采用率進行對比,那么信息很明確,未來會有很多增長。雖然很難預測加密采用的趨勢線是否會持續下去,但到 2030 年,加密用戶的總數可能會達到 10 億。
但是,BCG 表示,采用將受到不同地區的影響,其中北美領先。?該地區目前是投資最多的行業,平均持有加密貨幣約為 18,000 美元。在其他地方,非洲的投資最少,平均持有約 190 美元的加密貨幣。?[2022/7/23 2:32:40]
以下函數包含易受重攻擊影響的函數。當低級別call()函數向msg.sender地址發送ether時,它變得易受攻擊;如果地址是智能合約,則付款將觸發其備功能以及剩余的交易體:
交易順序依賴合約:
交易順序依賴就是智能合約的執行隨著當前交易處理的順序不同而產生差異。例如,有兩個交易T和T,兩個區塊鏈狀態S和S,并且S狀態處理完交易T后才能轉化為狀態S。那么,如果礦工先處理交易T,交易T調用的就是S狀態下的智能合約;如果礦工先處理交易T再處理交易T,那么由于先執行的是T,合約狀態就轉化為S,最終交易T執行的就是狀態S時的智能合約。
攻擊方法舉例:
攻擊者提交一個有獎競猜合約,讓用戶找出這個問題的解,并允諾給予豐厚的獎勵。攻擊者提交完合約后就持續監聽網絡,如果有人提交了答案的解,此時提交答案的交易還未確認,那么攻擊者就馬上發起一個交易降低獎金的數額使之無限接近0。當礦工處理這兩個交易時,當前交易池就有兩個待確認交易:一個交易是提交答案,一個交易是更改獎金數額。如果礦工先處理的是敵手更改獎金的交易,而敵手可以通過增加交易費用讓礦工先處理自己的交易,那么等到礦工處理提交答案的交易時,答案提交者所獲得的獎勵將變得極低,敵手就能幾乎免費的獲得正確答案。
時間戳依賴合約,也稱時間篡改;
礦工處理一個新的區塊時,如果新的區塊的時間戳大于上一個區塊,并且時間戳之差小于900秒,那么這個新區塊的時間戳就是合法的。這是以太坊協議所規定的。時間戳依賴顧名思義就是指智能合約的執行依賴當前區塊的時間戳,隨著時間戳的不同,合約的執行結果也有差別。
攻擊方法舉例:
1.一場比賽在今天午夜付出了第一名球員。
2.惡意礦工包括他或她試圖贏得賽并將時間戳設置為午夜。
3.在午夜之前,礦工最終挖掘該塊。當前的實時時間“能夠接近”到午夜,絡上的其他節點決定接受該塊。
以下功能只接受特定期之后的呼叫。由于礦可以影響他們區塊的時間戳,他們可以嘗試挖掘個包含他們交易的區塊,并在未來設定個區塊時間戳。如果夠接近,它將在網絡上被接受,交易將在任何其他玩家試圖贏得比賽之前給予礦工以太:
誤操作異常:
在以太坊中,一個合約調用另一個合約可以通過send指令或直接調用另一個合約的函數。然而在調用過程中可能會出現錯誤,調用的合約就會回退到之前的狀態。那么這個異常就可能無法很好地被調用者獲知,這取決于調用方式。例如,通過send指令調用的合約應該通過檢查返回值來驗證合約是否被正確執行。
攻擊方法舉例:
有個名KingOfTheEtherThrone的智能合約:用戶可以通過一定數量的以太幣成為“以太幣國王”,支付的數額由現任國王決定。很顯然,當前國王可以通過買賣國王獲得利潤。當一個用戶聲稱為國王后,合約就發送賠償金給現任國王,并指定這個用戶為新的國王。然而,這個合約并沒有檢查支付賠償金的交易的結果。這樣一旦合約在執行過程中產生了異常,現任國王就有可能同時失去王座和賠償金。
可能的攻擊方式就是敵手故意超出調用棧的大小限制。以太坊虛擬機規定調用棧的深度為1024。敵手在攻擊之前,首先調用自身1023次,然后發送交易給KoET合約,這樣就造成了合約的調用棧超出了限制,從而出現了錯誤。合約出錯后,因為這個合約沒有檢查合約的返回值,那么如果合約在發送賠償金給現任國王的過程中出現了異常,那么現任國王極有可能失去王座和賠償金。
Tags:以太坊ETHWCT以太坊幣是什么幣ETH錢包地址ETH挖礦app下載Etherael指什么寓意WCT幣是什么幣
科技的發展為我們帶來了移動支付,盡管如此我們仍舊離不開紙幣,錢幣是我們生活中最熟悉的事物之一,眾所周知,人民幣最大數額只有100,那么圖中這張津巴布韋幣的數額你能數出來多少個零呢?你沒看錯.
1900/1/1 0:00:00比特幣是如何進行挖礦的呢?在比特幣剛開始誕生的時候,人們都是用個人電腦進行挖礦的,但隨著比特幣的剩余數量的減少和參與挖礦人數的增多,個人電腦現在已經不足以運算比特幣的挖礦計算了.
1900/1/1 0:00:00來源:區塊鏈藍海作者:淘氣包2018年熊市低迷的這一年里,所有的項目都在寒冬下寸步難行,唯獨EOS的生態卻熱火朝天.
1900/1/1 0:00:002017年“9.4”事件以來區塊鏈的造富效應是令人咋舌的,很多人因為及時趕上了這趟財富快車從而實現了財務自由,到達了人生的另外一個階段,譬如孫宇晨、火星人、郭宏才、張健、帥初等等,不勝枚舉.
1900/1/1 0:00:00導讀 國內市場更容易受政策影響。無論是從退出還是募資環境的角度考慮,不少人民幣基金管理人已經開始動身募集美元基金。2018年接近尾聲,各家機構的項目IPO成績單基本出爐.
1900/1/1 0:00:00滑梯大家都知道,是一項非常好玩的游戲,小朋友們特別喜歡玩滑梯,喜歡從上往下快速滑下的感覺。玩滑梯并不是小朋友的特權,世界上也有很多為大人量身打造的滑梯,更加的驚險刺激.
1900/1/1 0:00:00