一个solidity小错误

最新推荐文章于 2024-09-01 18:16:22 发布
原创 最新推荐文章于 2024-09-01 18:16:22 发布 · 257 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#区块链

本文分析了一种智能合约的安全漏洞,即攻击者如何利用公开的addLiquidty()函数非法获取合约内的ZXD代币并进行套利。文章提出了将该函数设置为private的解决方案,并强调了在编写合约时应注意限制函数访问权限的重要性。

需求:

转入合约一定数量其他代币+BNB,合约根据转入的BNB+ZXD自动加池子

代码如下:

 攻击:

 addLiquidty() 为public,且没有权限判断,而合约里本身有预存的ZXD,攻击者可以通过转入BNB到合约,然后触发addLiquidty(),再 removeLiquidty(),从而盗取合约里面的ZXD,然后卖掉套利。

解决方案:

addLiquidty() 设置为private,同时以后写合约注意,不需要的函数方法都应该设置为private,以避免出现漏洞。

UniswapV2周边合约学习(九)-- ExampleCombinedSwapAddRemoveLiquidity.sol
天草降临的博客
10-25 1385
Uniswap是当前以太坊上最流行的去中心化交易所,它使用恒定乘积算法来自动做市,任何人都可以在上面创建自己的ERC20代币交易对。本文为个人学习UniswapV2智能合约源码的系列记录文章。
thegraph入门教程
一个不靠谱的程序员
03-18 9918
编写智能合约时,通常状态的变化是通过触发一个事件来表达,The Graph则是捕捉区块链事件并提供一个查询事件的GraphQL接口,让我们可以方便的跟踪数据的变化。 实际上很多 DEFI 协议及都是The Graph来基于查询数据。 https://thegraph.academy/developers/local-development/ 我们以此教程为基础做出一下额外的补充。 工具准备:nodejs、yarn、docker、truffle、graph-cli 1. 合约开发与部署 合约的开发环境搭建
Solidity Uniswap V2 Router contract addLiquidity
The future is already here it's just not evenly distributed。
03-14 1415
在这个函数中,我们要找到满足我们所需和最低金额的流动性金额。由于从我们在用户界面选择流动性金额到我们的交易被处理之间存在延迟,实际reserve比率可能会发生变化,这将导致我们损失一些 LP-token(作为对存入不平衡流动性的惩罚)。报价是库合约中的另一个函数:通过输入金额和配对储备金,计算输出金额,即tokenA 的价格乘以token B 的输入金额。如果储备金是空的,那么这是一对新的货币对,这意味着我们的流动性将决定储备金比率,这意味着我们不会因为提供不平衡的流动性而受到惩罚。
Uniswapv2流动性addLiquidity源码分析,结合公式和部署结果进行分析 [addLiquidity] [ 2 ]
weixin_43458715的博客
09-01 1982
流动性addLiquidity源码分析,结合部署和使用进行分析。 功能是允许用户将两种代币存入流动性池,并获得相应的流动性提供者(LP)代币,结合了公式进行计算和分析。
defi uniswapV3源代码分析之一 增加流动性add liquidity
weixin_42285518的博客
08-21 1189
区块链 | Uniswap】2.剖析DeFi交易产品之Uniswap:V2中篇
08-19 1207
上篇我们主要讲了 UniswapV2 整体分为了哪些项目,并重点讲解了的核心代码实现。这篇我们来看看。本篇文章核心就是讲解路由合约的实现,因为接口比较多,就没有全部都展开进行阐述,但核心逻辑基本都已经讲解了。下篇再来聊聊质押挖矿合约,以及 TWAP。
swp添加池子addLiquidity失败
以择人之心择己,以恕己之心恕人。
06-24 5234
将初始化代码的哈希值作为输入之一,确保了生成的流动性对地址与特定的初始化代码紧密绑定,这样就不可能用一个不同的初始化代码来创建一个看似相同的流动性对。这个哈希值在计算流动性对地址的过程中扮演着重要角色,因为它帮助确保了生成的地址与特定的工厂合约、代币组合以及初始化代码相对应。:由于哈希函数的性质,即使微小的变化也会导致完全不同的哈希值。因此,不同的代币组合和初始化代码将产生不同的流动性对地址,即使工厂合约地址相同。的存在是为了确保流动性对地址的生成既具有确定性又具有安全性,同时与特定的初始化代码相绑定。
古老的Solidity智能合约错误代码编写
01-08
任何编程语言都有不完善的地方,而使用语言的过程中也可能产生一些逻辑上的Bug。...因此如果tx.origin无意中调用了一个攻击合约,攻击合约再调用被攻击合约,就能通过这个验证。 修复:使用 msg.sender
Python-Slither一个Solidity静态分析框架提供了一个API来轻松操作Solidity代码
08-10
Slither通过解析和分析 Solidity 源码,可以找出可能导致安全漏洞的模式,如重入攻击、整数溢出、权限管理错误等。这种早期检测有助于在开发过程中及时修复问题,防止上线后出现严重后果。 **2. API接口** Slither...
intellij-solidity:IntelliJ的Solidity插件
02-04
在当今的区块链领域,以太坊(Ethereum)作为一个领先的智能合约平台,其编程语言Solidity扮演着至关重要的角色。对于开发者来说,拥有一个高效且功能强大的集成开发环境(IDE)是提升开发效率的关键。IntelliJ IDEA...
Solidity错误处理及异常:Assert, Require, Revert和Exceptions
路漫漫其修远兮 吾将上下而求索
04-23 3653
Solidity错误处理及异常:Assert, Require, Revert和Exceptions
solidity基础】错误和异常处理
深漂小码哥
05-14 470
solidity可以通过调用 require、revert 或 assert 来抛出错误, 使用try...catch来捕获异常。
Uniswap - 智能合约V2代码导读
StarLi2020的博客
06-05 1万+
区块链技术是非常有趣的。更有趣的是,区块链技术让交易变得更丰富多彩。从中心化交易,到去中心化交易,再到去中心化AMM。每一种改变都尝试解决之前的问题,但本身也不是完美的。也值得一提的,每一点点进步都非常不容易。有种不积跬步,无以至千里的感觉。 很久之前,就看了Uniswap协议,当时理论分析,流动性提供者在价格波动的情况下,收入微薄。在这样的协议下,流动性是否充足,交易是否足够多,交易费是否有足够的吸引力等等,我觉得都是问题。 区块链 - 深入理解Uniswap协议 没想到,Uniswap今年成了热点。在流
如何区分加池子和卖币,撤池子和买币?
weixin_38532278的博客
02-05 2024
然后再通过from和to的地址,判断一下是否是lp地址,就可以区分卖或者卖了。通过这段神奇的代码 ,就可以判断出来加池子和撤池子了。
silidity经典智能合约(三)
q_776355102的博客
05-14 2661
写在前面(及代码解读) 1:系统初始化有86400000000个鸡蛋; 2:项目方怎么挣钱 1):3%的交易费进入项目的地址: 2)默认推荐人地址,如果有新玩家假如,那么他每次买卖鸡蛋的时候,推荐者都会收到3%鸡蛋; 3: 对于累计的鸡蛋,玩家可以选择卖掉换成BNB,或者按照864000的比例转换成一只鸡; 4:把鸡蛋孵化成鸡的过程,会增加市场上鸡蛋的数量,增加消耗掉的鸡蛋的数量除以5; 5:用户鸡蛋的数量又两部分组成,自己已有的鸡蛋和距离最近一次把鸡蛋孵化成,到当前能产生的鸡蛋...
学习二:调用流动性接口,进行添加流动性
热门推荐
fengjinghong的博客
03-01 1万+
1、部署合约后调用添加流动性的函数的各个参数: 2、调用函数成功后的交易截图如下: 代码参考: * 注意——(代码片段前面的有些接口,库函数并未使用,是用来做其他操作的) *(在提供流动性的时候注意合约是否有足够的相应的币,如果不够会报“金额不足”的错误,最后执行也不会成功,所以调试的时候数值尽量写的少一点就可以了,,,,记住一定得提前向合约中提供相应的币才可以进行添加流动性操作。,,,) // SPDX-License-Identifier: GPL-3.0 pragma solidity
学习1:调用合约接口(授权,提供流动性)
fengjinghong的博客
02-24 7199
uniswap 官方接口文档:https://uniswap.org/docs/v2/smart-contracts/router02/#interface 测试地址:0x7a250d5630B4cF539739dF2C5dAcb4c659F2488D // SPDX-License-Identifier: GPL-3.0 pragma solidity >=0.6.2; interface uniSwap{ // 1、用指定的代币交唤代币 function swapExa
solidity错误处理方式
最新发布
12-27
### Solidity 错误处理方法 #### 使用 `require` 函数 `require` 是一种常用的错误处理机制,主要用于验证输入条件。如果条件不满足,则会触发异常并回滚状态更改。此函数允许传递一条可选的消息作为参数,以便更清晰地描述失败原因。 ```solidity function withdraw(uint amount) public { require(amount <= address(this).balance, "Insufficient funds"); } ``` [^3] #### 应用 `assert` 断言 `assert` 用来检测内部错误或逻辑上的不可能情况。当断言失败时,意味着存在严重的程序缺陷,因此不会返回任何消息给调用者,并消耗所有剩余的 gas。通常只应在绝对确定的情况下使用 `assert`。 ```solidity uint storedData; function set(uint x) public { assert(x != 0); // This should never happen. storedData = x; } ``` #### 定义自定义错误类型 从版本 ^0.8.4 开始,Solidity 支持通过关键字 `error` 创建自定义错误对象。这种方式可以减少 gas 成本,因为相比于字符串信息而言,结构化数据更加紧凑。 ```solidity // SPDX-License-Identifier: MIT pragma solidity >=0.8.4; contract VendingMachine { error InsufficientFunds(); function buySnack() external payable { if (msg.value < snackPrice){ revert InsufficientFunds(); } // ... } } ``` --- ### 最佳实践建议 为了确保智能合约的安全性和可靠性,在编写代码期间应当遵循以下几点: - **优先选用 `require` 进行前置条件检查**:对于预期可能发生的外部因素引起的异常状况,应该采用 `require` 来捕获这些问题。 - **谨慎运用 `assert` 处理不可预见的情况**:仅限于那些理论上不应该发生的情形下才考虑使用 `assert`,并且要充分测试以确认其合理性。 - **尽可能利用自定义错误节省gas费用**:相较于传统的带有说明文字的方式来说,新的基于类型的错误表达形式能够有效降低交易成本。 - **保持良好的文档记录习惯**:无论是选择哪种方式进行错误报告,都应该附带足够的上下文信息帮助后续维护人员快速定位问题所在。 [^2]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值