第157篇 合约安全-随机数

已于 2023-01-02 14:10:14 修改
阅读量1.3k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 区块链应用 文章标签: 安全 区块链 智能合约 solidity 随机数
于 2023-01-02 14:09:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wonderBlock/article/details/128520533
本文探讨了智能合约开发中使用随机数的安全问题,特别是基于区块链变量的随机数生成方式。通过分析合约示例GuessTheRandomNumber及其攻击合约Attack,揭示了在相同区块内使用block.number和block.timestamp生成随机数的漏洞。修复建议包括避免使用区块变量作为种子,改用预言机获取随机数以提高安全性。

智能合约的开发中常常会用到随机数,例如 Lottery 和现在流行的 NFT 数字藏品的属性等都需要用到随机数。目前来说常见的随机数获取有两种:使用区块变量生成随机数,使用预言机来生成随机数。

使用区块变量生成随机数,常见的区块变量有:

  • block.basefee(uint):当前区块的基本费用
  • block.chainid(uint):当前链 id
  • block.coinbase():当前区块矿工地址 address payable
  • block.difficulty(uint):当前区块难度
  • block.gaslimit(uint):当前区块 gaslimit
  • block.number(uint):当前区块号
  • block.timestamp(uint):自 Unix 纪元以来的当前区块时间戳(以秒为单位)
  • blockhash(uint blockNumber) returns (bytes32):给定区块的哈希

其中 block.difficulty, blockhash, block.number 和 block.timestamp 这四个是用得比较多的。

1.合约示例

一个随机数合约 GuessTheRandomNumber 

  1. 这是一个游戏,如果你能猜到从块哈希和时间戳生成的伪随机数就赢;

了解本专栏 订阅专栏 解锁全文
MATLAB算法实战应用案例精讲-【人工智能】同态加密(概念)(附python和MATLAB代码实现)
qq_36130719的博客
08-18 888
同态加密是数据加密方式的一种,特点是允许数据在加密情况下实现数学或者逻辑运算,对密文直接进行处理得到的结果和对明文进行处理再加密得到的结果相同,即“先加密后计算”和“先计算再加密”效果是一样的。同态加密优势在于用户在数据加密的情形下仍能对特定的加密数据进行分析和检索,提高了数据处理的效率,保证了数据安全传送,并且正确的加密数据仍能得到正确的解密结果。由于这个良好的性质,企业和个人可以委托第三方对数据进行处理而不泄露信息,进而实现了数据的“可用不可见”。
2019-11-29-Mastering_bitcoin
mice的薛定鳄的博客
12-01 2538
Mastering bitcoin 一.简介 软件工程、密码学、经济学的结合体。 需要解决数字货币的两个基本问题: 这笔钱是否真实可信 这笔钱怎么识别所有权 比特币构成: 一个去中心化的点对点网络(比特币协议) 一个公共的交易账簿(区块链) 一个去中心化的数学的和确定性的货币发行(分布式挖矿) 一个去中心化的交易验证系统(交易脚本) 比特币的客户端: 完整客户端:一个完整的客户端,或称为“...
区块链密码学安全深度分析:从经典攻击到量子威胁
2504_90842827的博客
04-03 786
区块链技术,尤其是以太坊(Ethereum)作为分布式账本技术的典范,通过其图灵完备的智能合约功能,彻底改变了去中心化应用的构建方式。我从2017年开始研究这一领域,亲眼见证了一个关键的安全拐点:传统上被视为"不可能破解"的加密系统正逐步进入"可能被攻破"的危险区域。无论是经典计算能力的惊人增长,还是量子计算的实际突破,加密货币的安全基础都面临着前所未有的挑战。区块链安全的未来不在于坚持单一的密码学范式,而在于构建适应性强、兼容多种签名算法的系统,使其能够随着密码学和计算技术的发展而平稳演进。
零时科技|2021年,你应该了解的区块链安全
m0_37598434的博客
03-03 925
零时科技|2021年,你应该了解的区块链安全 市面上关于区块链安全的资料比较少,零时科技所做的项目基于传统网络攻防技术但又高于传统技术,既要能做代码审计,又需要有渗透测试的基本功,还需要有二进制和内核驱动的技术功底。如果能将一些攻防和分析的实例写出来,以后市面上就多了一本闪光的读物,能让更多的从业者提升水平,更高质量地守卫区块链安全。 做一件事之前,我们首先要想:为什么要做,做这件事的意义是什么?这两点一定要想清楚。写这本书的意义在于给这个行业的从业者多提供一个学习的途径,让爱好者多一个就业的通道。人就
NFT智能合约漏洞:谁为“一键蒸发”的亿万资产负责?
gpsjls的博客
07-29 413
每一起事件的背后,都可能同时触发《刑法》第二百八十五条非法侵入计算机信息系统罪、第二百八十六条破坏计算机信息系统罪、第二百六十六条诈骗罪、第一百九十一条洗钱罪、第二百二十四条之一组织、领导传销活动罪等多重竞合。在资产与灰烬之间,只缺一份被低估的法律方案。在“合规即流量、安全即市值”的新叙事下,能够提前识别、评估并隔离上述刑事风险的项目方,将获得三倍于行业平均的估值溢价。- 管辖漂移:服务器在A国,项目方注册在B国,资产发行在C链,用户散布全球——传统属地管辖被“碎片化”。
【转载+整理】区块链学习笔记-北大肖臻老师课后笔记(01-13)——BTC
热门推荐
qq_41569591的博客
08-12 1万+
学习视频来自:北京大学计算机系肖臻区块链学习视频 02 BTC密码学原理 1.比特币加密算法一共有两类:非对称加密算法(椭圆曲线加密算法)和哈希算法(SHA256,RIMPED160算法)。 公钥和私钥(encyption key)由椭圆曲线加密算法生成,私钥可推出公钥而反之不能。 【重点】: 有了私钥,你就可以对文本签名。别人拿了你的公钥就可以根据签名认证你是否拥有私钥。这就是证明你拥有存款的办法。 为了安全起见,公钥应该隐藏起来。所以对公钥进行哈希加密,生成公钥哈希值然后计算哈希值的比特币地址: **
2019年区块链安全事件总结,全球损失超60亿美元 | 盘点
区块链大本营
12-19 5312
作者 / 成都链安责编 / Carol出品 / 区块链大本营(blockchain_camp)随着现代化信息技术和应用的快速发展,数字资产这种以计算机信息技术为基础的货币形式应运而生。...
Java安全编码标准
weixin_30411819的博客
07-07 805
《Java安全编码标准》 基本信息 原书名:The CERT Oracle Secure Coding Standard for Java 作者: (美)Fred Long Dhruv Mohindra Robert C. Seacord Dean F. Sutherland David Svoboda 译者: 计文柯 杨晓春 丛书名: 华章程序员书库 出版社:机械工业出版社 ISB...
【Java】Java语言程序设计(基础)全书笔记
CLSChen的Java学习笔记
06-04 6999
Java语言程序设计(基础)全书笔记 标签:编程 JAVA 课本链接:https://pan.baidu.com/s/184nwV1VfvKRJMiCjYZaqJQ 提取码:wyzl 这博客本来在Cmd Markdown编写,现在转载过来,因为格式原因,这边代码高亮和图片都不能加载,欢迎访问我的原博客:https://www.zybuluo.com/CLSChen/note/1415365...
【Sql Server】sql server 2019设置远程访问,外网服务器需要设置好安全组入方向规则
2509_94200811的博客
12-01 614
本地电脑安装的sql server数据库可视化工具ssms连接到外网服务器的sql server数据库,实现本地化远程链接数据库进行管理和操作。
软件供应链安全“黑洞”:2025安全合规的制品库如何选择?
weixin_44552837的博客
12-01 272
软件供应链攻击频发,依赖组件不可控、流转管控缺失等问题凸显制品管理风险,制品库亟需安全合规的产品选择。国产制品管理平台可构建全生命周期防御体系,以可信源建设、上传即扫描、全链路追溯及信创适配筑牢防线,是企业研发制品仓库的选型优选。
大模型生成(题目)安全
CSPhD-winston的博客
12-01 612
生成管道中加“自动验证器”(QA 模型交叉验证)、内容过滤器(toxicity / safety classifier)、可控生成(约束 prompt / planning),以及对抗训练来提高鲁棒性。可用指标:错误率(事实/逻辑)、不可答率(unanswerable)、有害性评分(自动 + 人工标签)、偏见强度(差异化统计)、选项/答案位置偏置、可解释性度量等。构建偏见题模板(性别/种族/阶级/文化敏感话题),通过语法/语义变换扩展(借鉴 JADE 型方法),评估不同模型在题目生成时露出的系统性偏差。
Java安全基础——JNI安全基础
a1001086的博客
11-29 514
Java通过JNI实现与C/C++的交互,可在Java中调用本地代码。具体步骤包括:1)声明native方法;2)加载动态链接库(.dll/.so);3)使用javac生成头文件;4)实现C/C++函数;5)编译生成动态库;6)在Java中调用。JNI类型对应C++类型,基本类型直接使用,引用类型为对象指针。处理字符串时需注意内存管理,使用GetStringUTFChars获取字符串指针,最后调用ReleaseStringUTFChars释放资源。该方法可扩展Java功能,但需考虑跨平台和安全问题。
MySQL offline_mode:安全隔离流量,高效完成数据库维护
最新发布
翔云
12-01 644
MySQL的offline_mode是用于数据库维护的重要配置,开启后仅允许管理员连接,普通用户连接会被拒绝或断开。它不会影响复制线程,确保主从同步不受干扰。该功能适用于服务器升级、数据备份等维护场景,需配合CONNECTION_ADMIN和SYSTEM_VARIABLES_ADMIN权限使用。使用时需注意:会立即中断业务连接,建议在维护窗口期操作,并确保应用连接池能正常恢复。通过SET GLOBAL offline_mode=ON/OFF可快速切换状态,为数据库维护提供安全环境。
PSN-1:氮气加速 + 空燃比双控仪 ——NOS 系统的 “安全性能双管家”
2501_90323541的博客
12-01 532
PSN-1 是 NOS 氮气加速车辆专属双控仪,核心实现氮气瓶压力与宽带空燃比同步监测及安全闭环控制。搭载 1500PSI 高压传感器(±1% FS)和博世 LSU 4.9 氧传感器,响应快无延迟,精准捕捉喷射瞬间参数波动。独有 PowerSafe 智能干预,空燃比过稀或瓶压过低时自动切断氮气,配合 RPM 窗口锁定杜绝误操作。OLED 屏多模式显示,IP54 防护适配极端工况,既是赛道调校数据眼,也是引擎安全安全阀,适配街道改装与专业竞技。
【探索实战】监控、安全与边缘场景的深度落地
行者的博客
11-29 891
Kurator作为一站式分布式云原生平台,在统一监控、安全策略和边缘计算场景中展现出显著优势。文章从监控体系搭建、安全策略实施和边缘计算实战三个维度,分享了Kurator的进阶使用经验。通过Thanos实现跨集群监控聚合,Grafana提供全局可视化,将巡检时间从30分钟缩短至5分钟;利用Kyverno集成实现统一安全策略管理,大幅降低合规成本;在制造业边缘场景中,Kurator的离线部署和弱网同步能力解决了车间网络不稳定问题,使边缘集群部署时间缩短90%。Kurator有效降低了分布式云原生管理复杂度,是
安全月报 | 傲盾DDoS攻击防御2025年11月简报
aodunsoft的博客
12-01 697
2025 年11月,全球DDoS攻击态势依旧呈现出高频、分布广、攻击方式复杂化等特点。随着攻击资源不断扩张、自动化武器库持续演进,各行业业务系统在面对突发性高流量冲击时愈发显得脆弱。为帮助客户及时掌握本月攻击趋势与威胁变化,傲盾对全国及海外多个区域的DDoS攻击数据进行了系统统计与深入分析,并对攻击类型、规模、来源以及清洗系统的实际防御表现进行了全面呈现。本月,华东、华中、华北、香港、北美等重点区域均出现大量攻击行为,其中不乏规模超过百Gbps乃至Tb级的高强度攻击。攻击类型覆盖。
信创RFID:涉密数据共享的“安全密钥”
shoumaxinxi的博客
11-30 432
信创 RFID 涉密载体管控系统在合法合规、安全可控、互信互惠、精准高效等多方面与数据共享规范实现了深度契合,为数据共享的安全、有序、高效开展提供了坚实保障。首码信息技术有限公司凭借其在该领域的深厚技术积累和丰富实践经验,研发出的优秀系统在众多实际应用场景中大放异彩,帮助众多企事业单位解决了涉密载体管理和数据共享的难题,成为了信创领域的可靠伙伴。展望未来,随着数字化进程的不断加速,数据共享的需求将愈发旺盛,对安全和规范的要求也会日益提高。
输电线路微气象在线监测装置——电力安全的实时守护者
WHFENGHE的博客
12-01 182
我国输电线路常穿越复杂地形,易受微气象影响引发故障。新型微气象监测装置采用高精度传感器阵列,实时采集风速、温度等6要素数据,测量误差≤±0.1m/s。系统通过智能算法过滤干扰,实现分钟级数据更新和多级预警。设备具备IP66防护和-40~80℃工作能力,太阳能供电续航30天。实际应用显示,该装置能有效监测气象风险,将电网运维模式从被动抢修转为主动防护,显著提升安全性和经济效益。未来结合AI算法可进一步优化预警精度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wonderBlock

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值