智能合约开发必读:ERC20 Token合约你可能不知道的坑

最新推荐文章于 2023-07-03 09:11:45 发布
原创 最新推荐文章于 2023-07-03 09:11:45 发布 · 2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#区块链 #智能合约 #ERC20 #Solidity #BEC

本文通过BEC和SMT智能合约安全事件,探讨了ERC20合约的安全风险,如整数溢出和可重入攻击。建议开发者在转账前做好余额校验,使用transfer()避免重入攻击,明确理解msg.sender和tx.origin的差异,并避免依赖时间戳和块高度。同时,强调智能合约审计的重要性。

前不久,轰动一时的BEC事件在币圈和链圈掀起了不小的反响,智能合约安全一度成为焦点话题。

通过一个小小的整数溢出漏洞,黑客盗取了巨量的BEC token,迫使交易所不得不暂时停止交易。一时间BEC价格呈现断崖式下跌。随后,SMT token 的智能合约也因为相同的问题遭到了攻击。
两次事件都给项目发行方和token持有者造成了巨额的损失。

据统计,截止2018年5月12日为止,以太坊上部署的合约总量共计 1628059 个,其中ERC20合约数量为 71233 个,占比 4.3%。
这些合约所代表的经济价值更是难以估量。
erc20creation

上图反映了自以太坊平台诞生以来,ERC20代币合约的创建情况,整体呈现增长趋势。自2017年6月开始便持续走高,而2018年的增长幅度尤为明显,平均每日合约创建数约为 320 个,
尤其在今年三月份,一度达到峰值,一天内创建的合约数量更是超过600个。随着区块链热度的进一步加强,越来越多的区块链项目也在萌芽,相信2018年新合约的数量还会逐步上升。

公开数据表明,大量已经部署的智能合约或多或少都存在着一定的安全风险和漏洞,BEC事件也只是冰山一角。那么就ERC20合约而言,除了整数溢出漏洞以外,还有可能面临哪些风险呢?

  • 可重入

    若一个程序或子程序可以「在任意时刻被中断然后操作系统调度执行另外一段代码,这段代码又调用了该子程序不会出错」,则称其为可重入(reentrant或re-entrancy)的。

    在智能合约代码中,黑客可以利用fallback函数,来递归调用包含 call.value() 的函数 ,从合约中重复提取以太币。通常造成该类事件的原因是余额校验不到位或余额更新不及时。

    当ERC20代币合约中涉及以太币的转出,应当尤为注意。以一个 withdraw 函数为例,这也是ERC20合约中经常出现的函数。以下代码中首先进行余额校验,并向msg.sender地址转出以太币,
    再修改 balance 数组中余额值。当函数执行到 msg.sender.call.value(amount)() 时,黑客就可以通过msg.sender的 fallback函数来重复调用 withdraw,
    进而重复执行 msg.sender.call.value(_amount)(),直到gas全部消耗完毕或者合约中的以太余额全部被取完。于是就给黑客实现 reentrancy 攻击创造了条件。

    • 


                

                
                
        

    



  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
智能合约ERC20合约ERC721合约

				
			

			

				

					weixin_46549536的博客
				

				

					05-11
					
					380
					
				

			

		

		

			
				
本文对ERC20ERC721合约的代码实现做了详细的拆解,从本文中读者可以非常清晰的了解到ERC20ERC721合约提供了哪些接口和方法,实现了哪些功能,适合在哪些业务场景中使用。

			
		

	



                

            
              



	

		

			

				
					
Foundry教程:ERC-20代币智能合约从编写到部署全流程开发

				
			

			

				

					WongSSH的博客
				

				

					07-17
					
					9104
					
				

			

		

		

			
				
本教程的内容主要分为以下四部分:
一是Foundry的介绍与安装,主要介绍为什么选择Foundry进行智能合约开发和安装过程中的各种官方文档中未提及的问题;
二是智能合约的编写,主要介绍如何使用Foundry初始化开发环境,导入其他Solidity模块;
三是智能合约的测试,介绍Foundry中测试工具,以及如何使用Solidity编写测试脚本,以及输出Gas报告等内容;
四是智能合约的部署,介绍如何使用`Anvil`构建本地测试环境并进行合约测试,并介绍如何将合约部署至测试网络。.........

			
		

	



              


  
              

                


	

		

			

				
					
智能合约学习 简易token

				
			

			

				

					qq_41390321的博客
				

				

					10-28
					
					301
					
				

			

		

		

			
				
Step:1、创建一个配置文件 npm init  》package.json

        2、truffle init 创建项目 

       3、第三方库加密函数库 npm install zeppelin-solidity

 

			
		

	





	

		

			

				
					
部署以太坊智能合约Token发行)

				
			

			

				

					王较瘦的博客
				

				

					03-24
					
					1116
					
				

			

		

		

			
				
pragma solidity ^0.4.24;

contract EIP20Interface{
    //获取_owner地址的余额
    function balanceOf(address _owner) public view returns (uint256 balance);
    //转账:从自己账户向_to地址转入_valueToken
    function tra...

			
		

	



		

			
		



	

		

			

				
					
2023年全国职业院校技能大赛-高职组“区块链技术应用”赛项赛卷(1卷)

				
			

			

				

					君逍遥o
				

				

					07-03
					
					5138
					
				

			

		

		

			
				
选手完成本模块的任务后,将任务中设计结果、运行代码、运行结果等截图粘贴至客户端桌面【区块链技术应用赛\重命名为工位号\模块一提交结果.docx】中对应的任务序号下。

			
		

	





	

		

			

				
					
学习笔记(3):第三章:版权交易系统智能合约开发-ERC20合约介绍

				
			

			

				

					weixin_43035294的博客
				

				

					02-21
					
					252
					
				

			

		

		

			
				
1.erc20的标准和实现
2.erc721的标准和实现
3.erc721标准的改造
4.合约之间的调用和功能调试

			
		

	





	

		

			

				
					
自己动手创建ERC-20标准的Token合约

				
			

			

				

					Mia0717的博客
				

				

					02-28
					
					1217
					
				

			

		

		

			
				
简单来说,可以把ERC-20理解成在以太坊上发布Token合约的规范,规范的好处就是可以带来更好的兼容性,遵守规范的代币可以认为是标准化的代币。
ERC-20标准接口代码
pragma solidity ^0.5.10;
contract ERC20Interface{
    string public name;  // 代币的名字
    string public symbol;  // ...

			
		

	





	

		

			

				
					
bora-token-contract:ERC20 BORA代币智能合约

				
			

			

				

					04-29
				

			

		

		

			
				
BORA生态系统智能合约 这是在BORA生态系统中利用的智能合约。 如果您想了解BORA生态系统,请访问我们的。 测验 如果要使用此存储库中的测试代码来验证BORA令牌合同,则需要安装松露和ganache客户端以方便使用。 安装...

			
		

	





	

		

			

				
					
智能合约开发:Python实现ERC721协议.pdf

					
最新发布

				
			

			

				

					04-19
				

			

		

		

			
				
无论是数据科学领域的数据分析与可视化,还是 Web 开发中的网站搭建,Python 都能游刃有余。无论你是编程小白,还是想进阶的老手,这篇博文都能让你收获满满,快一起踏上 Python 编程的奇妙之旅!

			
		

	





	

		

			

				
					
区块链和数据库,技术到底有何区别?

				
			

			

				

					weixin_33973609的博客
				

				

					08-18
					
					675
					
				

			

		

		

			
				
关于数据库和区块链,总会有很多的困惑。区块链其实是一种数据库,因为他是数字账本,并且在区块的数据结构上存储信息。数据库中存储信息的结构被称为表格。但是,区块链是数据库,数据库可区块链。他们虽然都是存储信息的,但是设计却完全同,所以可以互换。而且,这两者存在的目标也同,所以对于很多人来说,他们是很清楚为什么区块链是需要的,以及为什么数据库更适合存储某些数据。首先,我们来看看数据库和区块...

			
		

	





	

		

			

				
					
EOS 智能合约源代码解读 (10)token合约“几种关键操作”

				
			

			

				

					thefist的专栏
				

				

					10-11
					
					3109
					
				

			

		

		

			
				
1.  create:负责创建资产
void token::create( const text_name& issuer,  const asset& maximum_supply)
{
    require_auth( get_self() );
    name issuer_id(get_account_id(issuer.c_str(), issuer.size()));

    auto sym = maximum_supply.symbol;
    check( sym.

			
		

	





	

		

			

				
					
手把手教你区块链java开发智能合约nft token-第三篇(部署token

				
			

			

				

					huangxuanheng的专栏
				

				

					06-26
					
					1930
					
				

			

		

		

			
				
区块链系统中,也称为通证。与一般token同,区块链token具有权益性、加密性和可流通性。使得它成为区块链系统的“燃料”,资产流转、权益分享和资产升值等经济行为和机制变得顺其自然。......

			
		

	





	

		

			

				
					
ERC 20 协议精讲

				
			

			

				

					bareape的博客
				

				

					04-20
					
					3255
					
				

			

		

		

			
				
什么是 ERC20TokenERC20的标准接口是这样的:
contract ERC20 {
      function name() constant returns (string name)
      function symbol() constant returns (string symbol)......




			
		

	





	

		

			

				
					
你写的智能合约, 可能连1995年的程序员都比

				
			

			

				

					区块链大本营
				

				

					10-25
					
					8150
					
				

			

		

		

			
				
安全,区块链领域举足轻重的话题。本期咱们聊聊,由于智能合约实现与设计符引起的巨大安全隐患。「区块链大本营」携手「成都链安科技」团队重磅推出「合约安全漏洞解析连载」...

			
		

	





	

		

			

				
					
智能合约的常见漏洞

				
			

			

				

					weixin_33862188的博客
				

				

					09-25
					
					2772
					
				

			

		

		

			
				
目录:

1. 重入(Reentrancy) [1, 2, 3]
2. Call to the unknown [1]
3. Gasless send [1, 3]
4. Exception disorder/Mishandled Exceptions [1, 2, 3]
5. Type casts [1]
6. Keeping secrets [1]
7. Ether lost in trans...

			
		

	





	

		

			

				
					
圈钱跑路 ERC20 Token 合约代码分析

				
			

			

				

					Quartz's Blog
				

				

					02-16
					
					7172
					
				

			

		

		

			
				
ERC20 Token 合约代码分析



合约接口代码

// https://github.com/ethereum/EIPs/issues/20

// 接口标准
  contract ERC20 {
      function totalSupply() constant returns (uint totalSupply);   // 总发行量
      function balan...

			
		

	





	

		

			

				
					
【Ethereum】以太坊ERC20ERC233的区别

				
			

			

				

					weixin_33671935的博客
				

				

					09-26
					
					685
					
				

			

		

		

			
				
什么是ERC223

ERC223是继ERC20后推出的新标准,解决了ERC20中的一些问题



相关说明



ERC223开发的主要目标

1.合约中意外丢失token: 有两种同的方式来转移ERC20 token: 1) 合约地址  2) 钱包地址 ,你需要调用transfer发送给钱包地址 或者 调用approve在toke...

			
		

	





	

		

			

				
					
ERC721的简单剖析——继ERC20之后的新的以太坊协议

					
热门推荐

				
			

			

				

					weixin_42183449的博客
				

				

					05-15
					
					1万+
					
				

			

		

		

			
				
       ERC20出现之后,我开始去了解什么是ERC20。但是在2017年,一种名为CryptoKitties(加密猫)的以太坊游戏在顷刻间吸引了全球众多虚拟游戏世界里面的玩家,占据了各大媒体以及网站的头条,一只加密猫的价格最高峰竟然达到1亿RMB,究竟是什么东西的存在使得这款游戏变得如此疯狂,使得众多游戏玩家为之而痴迷,接下来就有我来给大家简单的剖析一下CryptoKitties(加密猫)...

			
		

	





	

		

			

				
					
区块链安全:ERC20智能合约整数溢出漏洞分析

				
			

			

				

					
				

			

		

		

			
				
" ERC20智能合约整数溢出系列漏洞披露"  智能合约,作为区块链技术的核心组成部分,近年来已经成为安全问题的焦点。自2016年The DAO遭受大规模攻击,损失6000万美元以来,区块链领域的智能合约漏洞事件频发,包括美...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值