以太坊智能合约规范问题

最新推荐文章于 2023-04-24 20:27:48 发布

转载最新推荐文章于 2023-04-24 20:27:48 发布 · 704 阅读

2 ·

CC 4.0 BY-SA版权

原文链接：http://www.wenwoha.com/blog_detail-225.html

文章标签：

#以太坊 #智能合约 #区块链

合约专栏收录该内容

1 篇文章

订阅专栏

本文探讨了ERC20代币标准中transfer、approve函数的实现问题，并提供了修复代码。着重于事件触发、余额检查和构造函数规范，确保合约符合以太坊的标准化要求，提高开发者监控和安全性。

ERC20是一种代币标准，用于以太坊区块链上的智能合约。ERC20定义了一种以太坊必须执行的通用规则，如果在以太坊发行的代币符合ERC20的标准，那么交易所就可以进行集成，在它们的交易所实现代币的买卖和交易。

ERC20中规定了transfer函数必须触发Transfer事件，transfer函数必须返回bool值，在进行余额判断时，应抛出错误而不是简单的返回错误，approve函数必须触发Approval事件。

1、未触发Transfer事件

function transfer(address _to, uint256 _value) public returns (bool success) {
   require(balanceOf[msg.sender] >= _value);           
   require(balanceOf[_to] + _value >= balanceOf[_to]); 
   balanceOf[msg.sender] -= _value;                            
   balanceOf[_to] += _value;                           
   return true;
}

上述代码在发生交易时未触发Transfer事件，在发生交易时，未产生event事件，不符合ERC20标准，不便于开发人员对合约交易情况进行监控。

修复方式：

function transfer(address _to, uint256 _value) public returns (bool) {
    require(_value <= balances[msg.sender]);
    require(_to != address(0));

    balances[msg.sender] = balances[msg.sender].sub(_value);
    balances[_to] = balances[_to].add(_value);
    emit Transfer(msg.sender, _to, _value);
    return true;
}

2、未触发Approval事件

function approve(address _spender, uint256 _value) public
    returns (bool success) {
    allowance[msg.sender][_spender] = _value;
    return true;
}

上述代码在发生交易时未触发Approval事件，在发生交易时，未产生event事件，不符合ERC20标准，不便于开发人员对合约情况进行监控。

修复方式：

 function approve(address _spender, uint256 _value) public returns (bool) {
    allowed[msg.sender][_spender] = _value;
    emit Approval(msg.sender, _spender, _value);
    return true;
  }

3、假充值漏洞

function transfer(address _to, uint256 _amount) returns (bool success) {
        initialize(msg.sender);

        if (balances[msg.sender] >= _amount
            && _amount > 0) {
            initialize(_to);
            if (balances[_to] + _amount > balances[_to]) {

                balances[msg.sender] -= _amount;
                balances[_to] += _amount;

                Transfer(msg.sender, _to, _amount);

                return true;
            } else {
                return false;
            }
        } else {
            return false;
        }
    }

上述代码在判断余额时使用了if语句，ERC20标准规定，当余额不足时，合约应抛出错误使交易回滚，而不是简单的返回false。

这种情况下，会导致即使没有真正发生交易，但交易仍然成功，这种情况会影响交易平台的判断结果，可能导致假充值。

修复方式：

 function transfer(address _to, uint256 _value) public returns (bool) {
    require(_value <= balances[msg.sender]);
    require(_to != address(0));

    balances[msg.sender] = balances[msg.sender].sub(_value);
    balances[_to] = balances[_to].add(_value);
    emit Transfer(msg.sender, _to, _value);
    return true;
  }

4、构造函数书写错误漏洞

Solidity0.4.22版本以前，编译器要求，构造函数名称应该和合约名称保持一致，如果构造函数名字和合约名字大小写不一致，该函数仍然会被当成普通函数，可以被任意用户调用。

Solidity0.4.22中引入了关于构造函数constructor使用不当的问题，constructor在使用中错误的加上了function定义，从而导致constructor可以被任意用户调用，会导致可能的更严重的危害，如Owner权限被盗。

构造函数大小写错误漏洞

contract own(){
    function Own() {
        owner = msg.sender;
    }
}

上述代码错误的将构造函数名大写，导致构造函数名和合约名不一致。这种情况下，该函数被设置为一个普通的public函数，任意用户都可以通过调用该函数来修改自己为合约owner。进一步导致其他严重的后果。

修复方式：

contract ownable {
    function ownable() public {
    owner = msg.sender;
}

构造函数编码错误漏洞

function constructor() public {
   owner = msg.sender;
}

上述代码错误的使用function来作为constructor函数装饰词，这种情况下，该函数被设置为一个普通的public函数，任意用户都可以通过调用该函数来修改自己为合约owner。进一步导致其他严重的后果。

修复方式：

constructor() public {
    owner = msg.sender;
}

原文链接：问我，问我社区，问我学院，专注软硬件开发，测试和运维平台技术文章分享http://www.wenwoha.com/blog_detail-225.html