超级会员免费看
去中心化域名经纪:区块链时代的域名交易革新
1. 智能合约安全威胁
智能合约是包含管理资金转移和其他区块链相关交易业务逻辑的代码片段。一旦部署,这些代码就无法更新以应用安全补丁。由于它们是用编程语言编写的,在编写智能合约时很容易引入漏洞,而这些漏洞可能导致资产所有者的资产损失。
主要的智能合约漏洞包括:
- 重入攻击(Re - entrancy) :攻击者在智能合约内进行意外的递归调用而导致的漏洞。例如,有一个众筹智能合约“A”,具有简单的存款和取款功能。如果“A”存在重入漏洞,另一个攻击智能合约“B”的回退函数可以对“A”的取款函数进行递归调用,从而取走所有众筹资金。
- 溢出和下溢(Overflow and Underflow) :智能合约相关语言中的变量数据类型有存储值的最大大小限制。最大值和最小值通常是循环的。如果某个变量的值增加超过最大值,最终结果会是一个较小的值,这称为溢出。相反,如果一个值减少后结果是一个较大的值,则称为下溢。在编写智能合约时,这类攻击很常见。攻击者可以通过提供无效输入来利用智能合约的溢出和下溢漏洞。通过对接受的输入进行检查,可以轻松应对此类攻击。
- 短地址攻击(Short Address attack) :这种攻击更多发生在用户界面层面,而非智能合约层面。当用户输入无效地址,智能合约引擎在填充后执行该地址时,就会发生这种攻击。
- 委托调用(Delegate Call) :这是一种与普通CALL方法略有不同的函数。委托调用总是在调用者环境的上下文中执行。这种调用的主要用途是创建
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
