koko爱英语-优快云博客

原创区块链安全常见的攻击分析——可预测随机数漏洞 (Predictable Randomness Vulnerability)【12】

区块链上的全局变量（如区块哈希、区块号、区块时间戳等）都是可预测的，若以它们为基础生成随机数，攻击者可以通过计算获取随机数的结果。

2025-01-03 15:18:42 802 3

原创区块链安全常见的攻击分析——拒绝服务攻击 (Denial of Service-DOS)King合约【11】

在合约游戏中，新玩家通过发送比当前 King 更多的代币来成为新的 King，同时合约会将原 King 的代币退回。如果原 King 是一个合约地址，并且合约没有实现 receive 或 fallback 函数来接收代币，退回代币的 call 操作会失败，从而导致整个合约无法继续运行，游戏中断。

2025-01-03 14:22:03 826

原创区块链安全常见的攻击分析——绕过 isContract() 验证 (Bypass isContract() validation)【10】

当一个合约正在部署时，它的代码尚未完全存储在链上。在constructor构造函数初始化期间size是0。攻击者可利用这一特性绕过检测机制并发起攻击。

2025-01-02 16:34:23 408

原创区块链安全常见的攻击分析——Unprotected callback - ERC721 SafeMint reentrancy【8】

MaxMint721 漏洞合约的 mint 函数调用了 ERC721 合约中的 _checkOnERC721Received 函数，触发 to 地址中实现 IERC721Receiver 接口的 onERC721Received 函数。to 地址是自己传入，因此可以再次调用 mint 函数，从而实现重入攻击。

2024-12-31 14:16:21 1009

原创区块链安全常见的攻击分析——私有数据泄露 (Private Data Exposure)【7】

变量直接存储在链上，而链上的所有数据（无论是 public 还是 private）都可以被直接读取。因此，用户的密码缺乏安全性，容易被恶意行为者获取。利用vm.load() 或类似的链上存储读取方法，可以直接获取存储数据，从而轻松获取用户的 password。

2024-12-30 16:33:30 788

原创区块链安全常见的攻击合约和简单复现，附带详细分析——不安全调用漏洞 (Unsafe Call Vulnerability)【6】

在 TokenWhale 合约的 `approveAndCallcode` 函数中，漏洞允许任意调用并传入任意数据。攻击者可以通过该函数利用 `call(_extraData)` 执行恶意代码，例如调用 `transfer` 函数将资金转移给攻击者，从而实现重入攻击并窃取资金。

2024-12-29 23:40:38 1066

原创区块链安全常见的攻击——ERC777 重入漏洞 (ERC777 Reentrancy Vulnerability)【5】

通过使用 `IERC1820Registry` 调用 `setInterfaceImplementer` 函数，将 `ERC777TokensRecipient` 接口指向攻击合约地址。攻击合约实现了 `tokensReceived` 钩子函数，并在钩子中调用 `SimpleBankContract.claim(address(this), 1000)`。当攻击者调用 `SimpleBankContract` 的 `claim` 函数时，会触发 `tokensReceived` 钩子，钩子中再次调用 `cl

2024-12-29 23:37:58 686

原创区块链web3 基础知识，包括ABI、EIP、ERC等

该合约提供了一个新的授权操作，permit()函数的作用便是完成 owner对spender的授权，个人理解是，因为原ERC20中的approve函数必须是owner亲自去调用才能完成授权，这比较麻烦owner，而permit则是可以通过owner提供的签名来验证，并执行owner对spender的授权操作。来转移代币， send函数额外的参数用来携带其他的信息，send函数会检查持有者和接收者是否实现了相应的钩子函数，如果有实现（不管是普通用户地址还是合约地址都可以实现钩子函数），则调用相应的钩子函数。

2024-12-28 11:28:06 1470 2