智能合约漏洞——竞争条件/预先交易

最新推荐文章于 2024-07-01 19:48:44 发布
最新推荐文章于 2024-07-01 19:48:44 发布
阅读量407 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 区块链 文章标签: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/S123456215/article/details/117353979
本文探讨了一种以太坊智能合约中的潜在安全问题,即矿工可以通过预检查交易并构造高gas费交易来窃取合约奖励。矿工利用交易池机制,优先打包能为自己带来利润的交易,揭示了智能合约经济激励机制的漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这个攻击主要出于矿工作恶。

contract FindThisHash {
    bytes32 constant public hash =
    0x0000 0000 0000 0000 0000 0000 dede dede dede dede dede dede dede dede dede dede;
    
    constructor() public payable {}// 允许接受转账的构造函数 

    function solve(string solution) public { // 如果用户能找到给定哈希值的原始输入数据,将获得 1000 Ether 
        require(hash == sha3(solution)); 
        msg.sender.transfer(1000 ether); 
    } 
}

合约逻辑:如果用户能找到给定哈希值的原始输入数据,将获得 1000 Ether。

以太坊矿工节点都是有"交易池(transcation pool)"的,矿工会先把其他节点广播的交易先暂存到一个"池",然后根据当前的打包情况和具体交易的“经济性(主要是gas费影响)”来决定挑选哪些交易到当前区块。

如果矿工发现这个合约,他就可以有个特殊处理:当有一个交易调用 solve 函数,预先检查这个结果是否获得奖金;如果能,则不打包这个交易,而是自己构造一个交易,使用现成答案调用 solve 函数,并设定更高的gas费,以获得优先打包权,同时自己把这个交易打包。

 

 

关注
专栏目录
C#遇见区块链:开启智能合约编程的新纪元
墨夶的博客
12-12 1092
总之,通过合理规划和精心设计,我们可以充分利用C#的优势,构建出高效、自动化且易于维护的区块链应用。希望这篇文章能为你提供有价值的指导,并激发你在探索这条道路上不断前进的动力。如果你有任何疑问或想要分享自己的经验,请随时留言交流!以上内容是一次生成的内容极限,涵盖了关于C#与区块链开发——智能合约编写的详细指南,包括从基础概念到具体实现步骤,再到高级优化技巧等多个方面。如果您有更多问题或者想要深入了解某个特定部分,请随时告诉我!
区块链项目管理的风险转移:智能合约的利与弊
最新发布
项目管理的博客
07-06 1048
区块链项目的波涛汹涌的海洋中,智能合约犹如一艘配备了自动导航系统的船只,承诺将我们安全送达"风险可控"的彼岸。本文深入探讨智能合约作为革命性风险转移工具的双重特性——它既能自动化执行风险分配协议,消除人为干预,又可能因代码缺陷成为项目最大的单点故障。通过剖析数十个真实案例,我们将揭示智能合约如何重塑传统项目管理中的风险地图,提供从技术原理到实际应用的全方位指南,并最终构建一个平衡效率与安全的智能合约风险管理框架。
智能合约审计系列————2、权限隐患&条件竞争
Fly_鹏程万里
03-22 373
更多精彩请移步:https://xz.aliyun.com/t/4416
智能合约审计之条件竞争
Fly_鹏程万里
07-16 3287
文章前言 与大多数区块链一样,以太坊节点汇集交易并将其形成块,一旦矿工解决了共识机制(目前Ethereum的ETHASH PoW),这些交易就被认为是有效的,解决该区块的矿工也会选择来自该矿池的哪些交易将包含在该区块中,这通常是由gasPrice交易决定的,在这里有一个潜在的攻击媒介,攻击者可以观察事务池中是否存在可能包含问题解决方案的事务,修改或撤销攻击者的权限或更改合约中的对攻击者不利的状态,然后攻击者可以从这个事务中获取数据,并创建一个更高级别的事务gasPrice并在原始之前将其交易包含在一个区块
150亿数字加密货币被盗的真相之后,还能拿什么拯救你,我的交易所!
区块链大本营
07-16 5811
由于容易遭受黑客攻击,用户们托管在十多个中心化交易所的数字加密货币资产,被盗总额业已超过150亿美元。其中,中心化交易所携币跑路的剧情更是不胜枚举。为了解决这里的信任难题...
智能合约的常见漏洞
weixin_33862188的博客
09-25 2711
目录: 1. 重入(Reentrancy) [1, 2, 3] 2. Call to the unknown [1] 3. Gasless send [1, 3] 4. Exception disorder/Mishandled Exceptions [1, 2, 3] 5. Type casts [1] 6. Keeping secrets [1] 7. Ether lost in trans...
智能合约版抢购机器人测试
weixin_46883668的博客
03-13 2880
tree new bee is cheap ,show me your bot.
智能合约漏洞——未初始化的存储指针
S123456215的博客
05-28 812
在solidity语言中,像动态的数组、struct、mapping这样的复杂数据结构是不能直接在"栈"里面保存的,因为"栈"里只能保存单独的"字",也就是只能保存实际数据长度小于等于32字节的简单数据类型。所以在solidity智能合约函数中声明动态数组和struct时,必须明确指明其位置在storage还是memory中。在函数内部,mapping类型则不能作为临时变量使用,只能作为某个状态变量的"储存指针",也就是mapping类型必须在编译时进行预先初始化,而不能作为运动时产生的数据。如果智能合约
第7篇 智能合约是什么?——从产品经理视角看智能合约
u011490194的专栏
07-01 816
想象一下,你和朋友小明打赌世界杯的冠军。如果你们用传统方式打赌,可能需要一个中间人来确保公正,比如你们共同的朋友小红。但是,如果用智能合约,你们就不需要小红了!你们可以在区块链上写一个智能合约,里面规定:如果巴西赢了,你给小明100块;如果德国赢了,小明给你100块。结果出来后,智能合约会自动执行,没有人能作弊。这就是智能合约的基本概念。
BabyDoge智能合约解析:BSC链上的Token交互
智能合约开发中,BSC(Binance Smart Chain)是一种基于Ethereum虚拟机(EVM)的区块链网络,由Binance交易所推出,旨在提供更快、更经济的交易体验,同时支持DeFi应用。BabyDoge智能合约利用了BSC网络的优势,为...
solidity学习过程+函数构造器constructor()+智能合约实例化
qq_35434814的博客
02-24 6660
关于使用constructor() —目前 学习其他语言时,感觉构造函数总是先执行,然后才能获取这个类。但是在智能合约中,先产生智能合约,然后在走构造函数。~~删除线格式~~ 涉及到this能否在构造函数中使用问题 因为智能合约的先产生,那我们可以在构造器中实现一些功能:如下所示 (1)获取智能合约地址 --参与地址的计算 address(this) (2) 在构造函数中触发事件 (涉及...
以太坊智能合约中随机数预测
Fly_鹏程万里
12-17 1156
一、前言 作为首次币发行(ICO)的平台,以太坊已经获得了极大的普及。 但是,它不仅仅用于 ERC20 通证,轮盘,彩票和纸牌游戏都可以使用以太坊区块链实现。 与任何区块链实施一样,以太坊是不可逆的,去中心化的,透明公开的。 以太坊允许运行图灵完备程序,这些程序通常用 Solidity 编写,使其成为平台创始人所说的“世界超级计算机”。 对于计算机赌博来说,所有这些特征都是非常有益的,尤其是用户...
以太坊智能合约安全入门了解一下(下)
omnispace的博客
05-29 4582
作者:RickGray作者博客:http://rickgray.me/2018/05/26/ethereum-smart-contracts-vulnerabilities-review-part2/(注:本文分上/下两部分完成,上篇链接《以太坊智能合约安全入门了解一下(上)》) 接上篇3. Arithmetic Issues算数问题?通常来说,在编程语言里算数问题导致的漏洞最多的就是整数溢出了,...
区块链之Solidity类型
Tai_Park
08-01 666
Solidity语言   IDE:https://remix.ethereum.org   合约文件结构: 版本申明、import、合约(状态变量、函数、结构类型、事件、函数修改器)、代码注释 结构举例: //^表示从0.4.0版本到0.5.0版本 pragma solidity ^0.4.0; //import import "s2.sol";   //This is...
智能合约常见10个漏洞
sinat_34996559的博客
01-03 2785
1. Reentrancy also known as or related torace to empty,recursive call vulnerability,call to the unknown This exploit was missed in review so many times by so many different people: reviewers tend to review functions one at a time, and assume that call...
分析智能合约漏洞
csds319的博客
07-09 2715
前几天又爆出新合约漏洞,可以查看着篇文章观看详细内容:https://mp.weixin.qq.com/s/MNXXdKmjqRLng53noP10ig因为之前没写过智能合约,没看明白为什么会出问题,请教了同事才了解清楚图1如上图所示,出现问题的是81行,但是为什么这句话会导致出现问题,allowed又是什么呢allowed是账户持有者调用approve后的结果,看下approve函数的代码图2如...
Solidity基础(1)--Solidity合约结构
可燃冰的博客
07-06 768
本章节主要讲述智能合约中合约的基本结构,及基本关键字的使用 合约中可包含内容: usingFor声明,状态变量(State Variables),结构类型(Structs Types),构造函数,函数修饰符(Function Modifiers),函数(Functions),事件(Events),枚举类型(Enum Types) 智能合约 Test pragma solidit...
智能合约漏洞——delegatecall漏洞
S123456215的博客
05-27 5670
delegatecall与call操作产生的普通智能合约函数调用的最大区别就在于"执行环境不会切换":也就是账户状态、储存状态都保留当前的调用者智能合约对应的状态,并且msg.sender和msg.value也不会改变;仅仅是把目标地址上的代码,拿到智能合约的当前执行环境中来执行。 但是如果是调用的"有状态"的库智能合约是会影响当前智能合约的状态。 FibonacciLib合约示例: contract FibonacciLib{ //数列开始的数字 uint public start;
智能合约漏洞——时间戳操纵
S123456215的博客
05-28 4796
另一种矿工作恶。 合约逻辑如果某人在区块时间戳正好能被10整除的那个区块中第一个向智能合约转10 ether,那么它将获得之前转入合约的所有赌注。 区块是矿工生成的,矿工可以预先知道下一个区块的时间戳是否能被15整除。 ...
链中自有黄金屋--NFT浅析
S123456215的博客
05-28 4545
链中自有黄金屋–NFT浅析 前言 ​ 2021年3月11日,佳士得历史上首次拍卖以 NFT 形式展现的纯数字艺术品,这幅底价100美元的作品最终以6934.6万美元成交,一举成为在世艺术家成交作品第三高价。 ​ 这一事件,将越来越多的目光吸引向 NFT 的世界。对于区块链行业外的人士而言,NFT 还是一个新鲜事物。但实际上,NFT 很早就已经出现了——即 在2017 年末以太坊上兴起的谜恋猫游戏。“谜恋猫是世界首款区块链游戏。“区块链”是支持类似比特币这样的加密货币的运作技术基础。尽管谜
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值