本文深入剖析区块链领域的DoS攻击,包括通过(Unexpected)Revert、区块Gas Limit和所有者操作发动的攻击。通过分析2016年的KotET和GovernMental事件,揭示了合约安全的重要性。建议开发者在设计合约时充分考虑异常情况,避免遍历可被操纵的数据结构,以及分散Owner权限以增强安全性。
安全,区块链领域举足轻重的话题,为什么一行代码能瞬间蒸发几十亿市值?合约底层函数的使用不当会引起哪些漏洞?在合约中发送以太币存在哪些风险?服务攻击DOS有哪些类型?
「区块链大本营」携手「链安科技」团队重磅推出「合约安全漏洞解析连载」,以讲故事的方式,带你回顾区块链安全走过的历程;分析漏洞背后的玄机。让开发者在趣味中学习,写出更加牢固的合约,且防患于未然。
当然,这些文章并不是专为开发者而作的,即使你不是开发者,当你读完本连载,相信再有安全问题爆出时,你会有全新的理解。
引子:秦人不暇自哀,而后人哀之;后人哀之而不鉴之,亦使后人而复哀后人也。
——《阿房宫赋》
上回书道:
溢出漏洞引增发
币值一落千万丈
黑客造假本领大
SafeMath来救驾
没看过的请戳:合约安全漏洞连载之一
本回咱们聊聊:
DoS攻击重现区块链江湖
缜密防范助阵安全区阵营
眼观目前区块链发展的步伐越来越急促,似乎我们已无暇回首当初那些辉煌与挫败,只能低着头继续跟从与追赶。
回首2016年的战场,似乎一切都已冰封,少有人记得这里发生过什么。
我们将当时的「拒绝服务攻击事件」挖掘出来,并将原理分析和漏洞修复技巧与大家分享,提醒要时刻牢记过去的教训。
事件回顾
2016年2月6日至8日The King of the Ether Throne(以下简称KotET)“纷争时代”(Turbulent Age)期间,许多游戏中的退位君王的补偿和未接受款项无法退回用户玩家的钱包[1] 。
具有讽刺意味的是同年6月,连庞氏骗局GovernMental的合约也遭遇DoS攻击,当时1100以太币是通过使用250万gas交易获得[2],这笔交易超出了合约能负荷的gas上限,带来交易活动的暂停。
无论是蓄意破坏交易正常流程还是阻塞交易通道,都用到了一个互联网时代已经盛行已久的攻击方式——<
最低0.47元/天 解锁文章
扫一扫
2053
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
