理解Solidity 中的 tx.origin 和 msg.sender

最新推荐文章于 2025-04-24 10:54:08 发布
原创 最新推荐文章于 2025-04-24 10:54:08 发布 · 1.4k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#区块链 #智能合约 #web3 #安全

开发者需要了解在Solidity中tx.origin和msg.sender的区别。这两个全局变量经常被混淆,尽管它们之间有着根本的不同。虽然乍一看它们可能相似,但在交易的上下文中,tx.origin和msg.sender代表不同的地址。在这篇博客文章中,我们将深入探讨这些变量的含义。

什么是tx.origin?

在Solidity中,tx.origin标识交易的原始发送者。它指向发起交易的外部账户,并在后续的智能合约交互中保持不变(整个调用链中)。

当通过MetaMask钱包发起交易时,用户MetaMask钱包的地址会被存储在tx.origin中。即使交易经过多个合约,这个地址也会保持不变。这个地址的一致性对于追踪交易的初始发送者非常重要。

什么是msg.sender?

在智能合约开发中,msg.sender标识当前调用的发送者。这个变量是动态的,在交易过程中可以发生变化。

当交易通过多个智能合约时,msg.sender的值会更改,以指示调用链中最近的合约地址。例如,如果合约A调用合约B,那么在合约B中msg.sender的值将被识别为合约A。

代码示例
为了演示tx.origin和msg.sender在智能合约调用之间的变化,我们将创建一个EntryContract智能合约,该合约调用UnderlyingContract合约。

我们添加一个printTxOriginAndMsgSender函数来打印每个地址。

下面是EntryContract智能合约:

contract EntryContract {
   
   
  IUnderlyingContract private underlyingContract
最低0.47元/天 解锁文章
solidity 中的 msg.sender全局变量的底层结构
zhuqiyua的博客
08-17 660
solidity 中的 msg.sender全局变量的底层结构 msg.sender 底层代码叫做CALLER CALLER - 这是底层汇编指令。 msg.sender - 这是在Solidity智能合约中表示当前调用者地址的全局变量。
solidity tx.originmsg.sender那些事儿
haifeng_zhang_it的博客
01-02 2630
tx.originmsg.sendersolidity中容易令人迷惑的两个变量,尤其是当我们直接调用合约时两者的值是相同的。为了更清晰的说明两者的关系我们需要构造合约间的链式调用,来观察两者值的变化。
solidity知识点(一)
weixin_45774311的博客
12-19 528
合约拥有者 msg.sender就是当前调用方法时的发起人,一个合约部署后,通过钱包地址操作合约的人很多,但是如何正确判断谁是合约的拥有者,判断方式很简单,就是第一次部署合约时,谁出的gas,谁就对合约具有拥有权。 合约地址 一个合约部署后,会有一个合约地址,这个合约地址就代表合约自己。 this代表的是合约地址。同时也可以看出msg.sender即是调用合约的账户地址 modifier modifier name(<args>){ ... _; }; ()里面为参数,…为solidit
漏洞分析:如何绕过 tx.origin != msg.sender 限制并更改合约所有者
2201_75798391的博客
01-14 440
tx.origin通过本次实验,我们绕过了tx.origin!限制,并成功更改了合约的所有者。这个漏洞的核心在于对tx.originmsg.sender的误用。如果开发者不小心使用了这种限制条件,可能会导致合约容易被外部合约操控,从而破坏其安全性。建议:在合约设计时,避免依赖tx.origin来进行访问控制,因为它容易被外部合约滥用。更安全的做法是通过签名验证、权限控制等机制来确保调用者的身份。此外,开发者应时刻关注合约的漏洞,确保所有操作都能经过合理验证,以避免被攻击者利用。
tx.originmsg.sender
qq_42200107的博客
09-19 3515
web3/solidity 游戏,在第 4 级上,我浪费了几分钟来了解 tx.origin msg.sender 之间的区别,它们在solidity 中构建全局变量。您可能会注意到,账户地址智能合约地址都可以是 msg.sendertx.origin 将始终是账户/钱包地址。,tx.origin 保存交易发送者的地址,msg.sender 保存消息发送者的地址。指调用智能合约函数的账户地址,只有账户地址可以是tx.origin。最近损失了 800 万美元,是的,由于。一张图片胜过千言万语。
Solidity - 安全 - tx.origin
ling1998的博客
07-08 719
在官网中对tx.origin有一段描述:Never use tx.origin for authorization.(永远不要使用tx.origin 做身份认证),即类似验证语句如 require(tx.origin == owner); 举2个例子说明一下,同时也提出了一个问题。
solidity中的msg.sender
kay
07-17 5207
对于一个已经部署在以太坊上的合约,有一种方法可以实现与这个合约的交互,如Token是已部署的合约,在另一个合约中调用方法为function aet(Token token,address user,..........),在方法里使用token.function就可以调用token的方法,但有一个问题就是token合约中如果出现msg.sender的时候,传过去的参数是合约的地址而不是调用者的地址...
solidity-msg.sender到底是什么?
qq_44909497的博客
04-19 6710
msg.sender到底是什么? msg.sender: 当前钱包的发起方。 msg是全局的,msg.sender是全局变量。 from就是account,发起消息的钱包地址,永远等于msg.sender 测试代码: // SPDX-License-Identifier: MIT pragma solidity ^0.4.0; contract Test { address public _owner; // / 第一次部署合约时,钱包地址存储到_owner uint publi
Solidity&Foundry 安全审计测试 tx.origin 漏洞
The future is already here it's just not evenly distributed。
05-28 800
在 Attack.attack() 中,它要求将 Alice 钱包中的所有资金转移到 Eve 的地址。由于 Wallet.transfer() 中的 tx.origin 等于 Alice 的地址、就授权了转账。钱包是一个简单的合约,只有所有者才能将以太币转移到另一个地址。由于tx.origin可能存在安全隐患,因此建议始终使用msg.sender进行授权或检查调用智能合约的地址。指调用智能合约功能的账户地址,只有账户地址可以是tx.origin。指直接调用智能合约功能的帐户或智能合约的地址。
Solidity智能合约msg.owner,msg.sendertx.origin
Messi-Q Blog
12-21 9967
Difference between msg.owner and msg.sender?     当部署合约时,msg.sender是合约的所有者,如果合约中定义了一个名为“owner”的变量,则可以为其分配值(地址)msg.sender。                                                               address owner =...
【CryptoZombies – 1 Solidity 教程】010 msg.sender
01-07
一、前言 看了一些区块链的教程,论文,在网上刚刚找到了一个项目实战,CryptoZombies。 如果你想了解更多有关于机器学习、深度学习、区块链、计算机视觉等相关技术的内容,想与更多大佬一起沟通,那就扫描下方二维码加入我们吧! 二、msg.sender 当我们有了一套映射来记录僵尸的所有权时,我们可以用msg.sender来运用他们。并且,msg.sender可以被所有函数调用。msg.sender指的是当前调用者(或智能合约)的 address。 注意: 在 Solidity 中,功能执行始终需要从外部调用者开始。 如果没有人调用合约中的函数,合约只会在区块链上什么也不做。所以msg.s
Solidity学习之msg.sender、require
明明的博客
07-10 5329
msg.sender,它指的是当前调用者(或智能合约)的 address 在 Solidity 中,功能执行始终需要从外部调用者开始。 一个合约只会在区块链上什么也不做,除非有人调用其中的函数。所以 msg.sender总是存在的。 require使得函数在执行过程中,当不满足某些条件时抛出错误,并停止执行。 Solidity 并不支持原生的字符串比较, 只能通过比较两字符串的 keccak256 哈希值来进行判断 require(keccak256(_name) == keccak256..
soliditymsg.sender总结(一个实时变化的变量)
热门推荐
weixin_43343144的博客
04-02 1万+
务必注意:msg.sender是一个实时变化的变量!在合约中,方法的调用者不一样,msg.sender就会不一样! pragma solidity >=0.5.0 <0.7.0; import "../../node_modules/openzeppelin-solidity/contracts/token/ERC20/ERC20.sol"; contract TestTok...
【CryptoZombies - 1 Solidity 教程】010 msg.sender
水亦心的博客
02-17 1473
一、前言 看了一些区块链的教程,论文,在网上刚刚找到了一个项目实战,CryptoZombies。 如果你想了解更多有关于机器学习、深度学习、区块链、计算机视觉等相关技术的内容,想与更多大佬一起沟通,那就扫描下方二维码加入我们吧! 二、msg.sender 当我们有了一套映射来记录僵尸的所有权时,我们可以用msg.sender来运用他们。并且,msg.sender可以被所有函数调用。ms...
solidity智能合约tx.origin的正确使用场景
chunxie2315的博客
07-18 463
简介 tx.originSolidity的一个全局变量,它遍历整个调用栈并返回最初发送调用(或事务)的帐户的地址。在智能合约中使用此变量进行身份验证会使合约容易受到类似网络钓鱼的攻击。 但针对tx.origin的使用并不用谈虎色变,正确的使用还是有它的应用场景的。 漏洞详解 漏洞合约 在如下...
web3 solidity 全局命名空间中变量函数 msg.sender \ tx.origin
会飞的程序猿
06-21 254
简单知识点
Solidity msg 对象
weixin_39854047的博客
07-20 1098
`getMsgData` `getMsgSig` 函数分别返回调用数据函数选择器,这在处理复杂调用或实现合约代理时可能有用。- **低级调用处理**:`msg.data` `msg.sig` 可以用于处理低级别的合约调用,特别是在实现代理合约或路由合约时。- 在 `donate` 函数中,`msg.value` 用于检查捐赠的以太币数量是否大于零,并在满足条件后处理捐赠逻辑。- 在 `withdraw` 函数中,`msg.sender` 用于确保只有合约所有者才能提取合约中的以太币。
全局变量Msg.sender
2401_86523075的博客
04-24 948
在这个小小的例子中,任何人都可以调用 setMyNumber 在我们的合约中存下一个 uint 并且与他们的地址相绑定。然后,他们调用 whatIsMyNumber 就会返回他们存储的 uint。一个合约只会在区块链上什么也不做,除非有人调用其中的函数。其中一个就是 msg.sender,它指的是当前调用者(或智能合约)的 address。使用 msg.sender安全,因为它具有以太坊区块链安全保障 —— 除非窃取与以太坊地址相关联的私钥,否则是没有办法修改其他人的数据的。
solidity中内部调用者外部调用者怎么区分
最新发布
08-13
Solidity 中,区分内部调用者外部调用者是一个常见的需求,尤其是在设计具有访问控制或权限限制的智能合约时。Solidity 提供了一些机制全局变量,可以帮助开发者识别调用者的性质。 ### 使用 `msg.sender` `tx.origin` - `msg.sender` 表示当前调用的直接发送者(可能是外部账户或合约账户)。如果调用是由一个合约发起的,则 `msg.sender` 会是该合约的地址。 - `tx.origin` 表示交易的原始发起者(始终是一个外部账户),无论交易经过多少合约调用链,其值都不会改变。 通过比较 `msg.sender` `tx.origin`,可以判断当前调用是否来自外部账户。如果两者相等,则调用是由外部账户直接发起的;如果不同,则调用是由另一个合约发起的。例如: ```solidity pragma solidity ^0.8.0; contract CallerChecker { function isExternalCall() public view returns (bool) { return msg.sender == tx.origin; } } ``` 如果 `isExternalCall()` 返回 `true`,则表示调用者是外部账户;如果返回 `false`,则表示调用是由另一个合约发起的[^3]。 ### 使用 `address(this)` `msg.sender` 比较 在某些场景下,开发者可能需要确保调用来自于合约自身。例如,某些函数可能只允许内部调用,而不允许外部调用。此时可以通过比较 `msg.sender` `address(this)` 来判断调用是否来自合约内部。 ```solidity pragma solidity ^0.8.0; contract InternalCallChecker { function internalOrExternal() public view { require(msg.sender == address(this), "Only internal calls allowed"); // 此处逻辑仅允许内部调用 } } ``` 如果 `msg.sender` 等于合约地址,则说明调用是通过合约内部发起的;否则,调用来自于外部[^3]。 ### 使用修饰符(Modifiers)封装逻辑 为了提高代码的可重用性可读性,可以将上述逻辑封装到修饰符中,以便在多个函数中复用。 ```solidity pragma solidity ^0.8.0; contract ModifierExample { modifier onlyExternal() { require(msg.sender == tx.origin, "Caller is a contract"); _; } modifier onlyInternal() { require(msg.sender != tx.origin, "Caller is not a contract"); _; } function externalFunction() public onlyExternal { // 仅允许外部账户调用 } function internalFunction() public onlyInternal { // 仅允许合约账户调用 } } ``` 通过上述方法,开发者可以灵活地控制合约的行为,确保特定函数只能被内部或外部调用者访问,从而提高合约的安全可控性[^3]。 ###
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值