第158篇 合约安全-selfdestruct

最新推荐文章于 2025-11-30 18:27:30 发布
最新推荐文章于 2025-11-30 18:27:30 发布
阅读量798 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 区块链应用 文章标签: 安全 区块链 智能合约 solidity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wonderBlock/article/details/128520591
本文讨论了Solidity中的selfdestruct函数带来的安全问题。通过一个名为EtherGame的示例合约,展示了如何利用selfdestruct攻击合约,导致游戏规则被破坏,无人能成为赢家。解决方案是避免依赖合约余额来决定业务逻辑,以防止类似的安全风险。

 solidity 可以通过调用 selfdestruct 从区块链中删除合约;

selfdestruct 将合约中存储的所有剩余 Ether 发送到指定地址。

弱点:恶意合约可以使用 selfdestruct 来强制向任何合约发送以太币。

1.示例合约

一个模拟业务合约 EtherGame

  1. 合约是一场游戏,用户的目标是成为第 7 位存入 1 ether 的玩家;
  2. 玩家一次只能存入 1 ether;
  3. 获胜者将能够提取所有 ether;

一个攻击合约 Attack

  1. 本合约销毁时会发送 ether 到指定的合约;
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.13;

contract EtherGame {
    uint public targetAmount = 7 ether;
    addres
了解本专栏 订阅专栏 解锁全文
智能合约安全审计平台——形式化验证模型构建
qq_42568323的博客
04-14 958
在构建正式的形式化模型前,第一步是详细分析系统需求,并将需求转化为形式化规范。前置条件:系统处于有效初始状态,即PS0P(S_0)PS0​。转换条件:在输入III的影响下,状态变换为Si1fSiISi1​fSi​I。后置条件:系统最终达到目标状态QSfQ(S_f)QSf​,并满足安全、功能等各项要求。通过详细的需求分析与规范定义,可以明确模型构建的目标和验证范围。
solidity学习笔记(1)——智能合约的执行与代码结构概述
lj900911的专栏
09-29 1703
智能合约的代码结构 废话不多说,先来一个智能合约的例子: pragma solidity ^0.4.4; /* pragma:版本声明 Solidity:开发语言 0.4.4:当前合约的版本,0.4代表主版本,4代表修复bug的升级版本 ^:代表向上兼容,0.4.4 ~ 0.4.9可以对我们当前的代码进行编译 */ contract Person { uint _age; uint...
Solidity进阶:自毁合约selfdestruct
qq_28052455的博客
07-31 1054
selfdestructsolidity内置函数,用来删除合约并将该合约剩余的ETH发送到指定地址。
区块链黑客第二讲: 自毁攻击
weixin_52628792的博客
11-04 1476
本章讲解智能合约的自毁攻击,以及如何利用自毁攻击来造成安全威胁!
区块链合约安全系列(三):如何认识及预防公链合约中的自毁攻击
BSN_yanxishe的博客
07-15 1792
id:BSN_2021 公众号:BSN 研习社 作者:红枣科技张雪良 背景:由于公链环境下所有的信息都是共享的,智能合约相当于是完全透明化,任何人都可以调用,外加一些利益的驱动,导致引发了很多hacker的攻击。其中self destruct攻击也是常见的攻击方式之一。 目标:将目标合约瘫痪掉,无法做正常的业务,从而认识以及预防自毁攻击漏洞。 对象:适用于用Solidity语言开发的智能合约,例如BSN中的武汉链(基于ETH)和泰安链(基于 fisco bcos)上运行的智能合约。 前言 在进入
solidity智能合约编程(进阶)
HurryPotter
05-19 684
1)合约转账三种方式: 1. address.transfer(uint256 acount):失败抛出异常(触发revert),发送2300gas,不可调节; 2. address.send((uint256 acount):失败返回false,发送2300gas,不可调节; 3. address.call.value(uint256 acount)():失败返回false,发送全部gas,可调节(.gas(uint256 gasAmount)); 2)tx.origin与msg.sender区别:
区块链 以太坊 智能合约 如何销毁 废弃 selfdestruct
软件工程小施同学 的专栏
01-17 4396
pragma solidity ^0.4.4; contract Counter { uint count = 0; // 函数拥有者 address owner; // 构造函数(constructor)来初始化合约对象 // 构造函数就是方法名和合约名字相同的函数 // 创建合约时会调用构造函数对状态变量进行数据初始化操作。 // 同一个合约同时只能拥有一个构造函数 function Counter() { ...
Solidity合约销毁(SelfDestruct
runrundream的博客
09-23 4047
以太坊Solidity智能合约销毁
如何修复 UUPS 升级合约的漏洞:增强合约安全
2201_75798391的博客
02-04 641
在 Web3 和智能合约的开发中,可升级合约(Upgradeable Contracts)是一个非常重要的概念。它允许我们在不改变合约地址的情况下,升级合约的实现逻辑,从而修复漏洞、添加新功能或优化合约。然而,随着这种灵活性而来的,是潜在的安全风险。如果管理不当,攻击者可以通过漏洞获得对合约的控制权,甚至摧毁合约。本文将介绍如何修复一个经典的 UUPS(Universal Upgradeable Proxy Standard)升级合约漏洞,避免攻击者通过操作摧毁合约或篡改合约的升级逻辑。
Solidity】6. 合约 - 深入理解Solidity
weixin_34289744的博客
09-14 659
索引 【Solidity】1.一个Solidity源文件的布局 【Solidity】2.合约的结构体 【Solidity】3.类型 【Solidity】4.单位和全局可变量 【Solidity】5.表达式和控制结构 【Solidity】6. 合约Solidity】7. 部件 【Solidity】8. 杂项 ...
以太坊智能合约生命周期
mongo_node的专栏
06-21 1828
之前我们写过如何将以太坊智能合约通过truffle部署到区块链上。在本文将进一步了解以太坊智能合约智能合约的建立 当我们编写完成一个智能合约后,当它被部署到区块链时,我们可能会有一些操作要做。例如,设置一些变量。与面向对象编程语言中的类一样,智能合约也有一个构造函数constructor。构造函数是与合约同名的函数。 pragma solidity ^0.4.11; contract ...
02.Solidity合约结构(初识别状态变量、局部变量、构造函数、析构函数)
boss2967的博客
11-05 528
1.什么是合约? 在区块链上运行的程序,通常称为智能合约(Smart Contract,所以通常会把写区块链程序改称写智能合约合约就是运行在区块链上的一段程序 完整合约 pragma solidity ^0.4.4; contract Counter { uint count = 0; address owner; function Counter() { ...
智能合约审计之权限校验错误
Fly_鹏程万里
07-16 3151
Tx.origin鉴权 简单介绍 tx.origin是Solidity的一个全局变量,它遍历整个调用栈并返回最初发送调用(或事务)的帐户的地址,在智能合约中使用此变量进行身份验证可能会使合约受到类似网络钓鱼的攻击。 案例分析 contract Phishable { address public owner; constructor () public { owner = msg.sender ; } function () public pa
区块链100讲:一文了解Solidity合约
weixin_33816611的博客
06-08 386
Solidity 合约类似于面向对象语言中的类。合约中有用于数据持久化的状态变量,和可以修改状态变量的函数。 调用另一个合约实例的函数时,会执行一个 EVM 函数调用,这个操作会切换执行时的上下文,这样,前一个合约的状态变量就不能访问了。 .. index:: ! contract;creation, constructor 复制代码1 创建合约 可以通过以太坊交易 "从外部" 或从 Solid...
以太坊智能合约开发(二):Solidity编程基础
bengbengbeng的博客
09-29 5418
以太坊智能合约开发(三):Solidity编程基础1 sol文件结构1.1 编译开关1.2 引用其他源文件1.3 合约1.4 库1.5 接口 1 sol文件结构 1.1 编译开关 编译开关 pragma solidity ^0.6.0;,该编译开关表明编译器版本需要高于0.6.0才可以编译。也可以指定编译器的版本范围:pragma solidity >= 0.6.0 < 0.7.0; 1.2 引用其他源文件 全局引入:import "filename";。 自定义命名空间引入符号“*”:imp
【技术深度】【安全】Remote Password Protection:一套密码永不上传的登录协议方案(含盲签 + Pairing + Crypto 模块)
最新发布
ZFJ_张福杰
11-30 758
本文提出了一套"密码永不上传"的高安全登录协议方案Remote Password Protection。该方案通过密码盲化、双线性映射和主密钥混合三项核心技术,确保服务端无法获取用户密码及哈希值,即使数据库泄露也无法暴力破解。系统包含客户端、业务服务器和密码服务(Crypto)三个角色,Crypto模块通过硬件安全模块(HSM)保护主密钥。文章详细阐述了基础注册登录流程、增强版(加入Token和安全通道)以及旧系统升级方案三种实现方式,并提供了完整的数学公式推导。该方案适用于交易所、银行
MySQL 的mysql_secure_installation安全脚本执行过程介绍
2509_94231173的博客
11-30 623
1.设置 MySQL root 用户密码。2.删除匿名用户。3.禁止 root 用户远程登录。4.删除测试数据库。5.重新加载权限表。
如何在数据库中安全地存储密码
sonadorje的专栏
11-30 1071
本文详细解析了密码存储的安全机制——加盐哈希技术。通过图示展示了从用户输入密码到安全存储的全过程:系统随机生成盐值,与密码拼接后进行哈希运算,最终只存储哈希值和盐值。文章强调了盐值的唯一性和随机性,以及使用专业密码哈希算法(如Argon2id、bcrypt)的重要性,指出这些算法具有计算缓慢、内存消耗大的特点,能有效抵御暴力破解。同时提出了pepper(胡椒)作为额外安全层的概念,建议将其存储在独立的安全管理系统而非数据库中。最后给出了Delphi语言的实现示例,并提醒要避免常见安全误区,如使用快速哈希算法
DualPLP 双重掉电保护赋能 天硕工业级SSD筑牢关键领域安全存储方案
2501_92877183的博客
11-24 980
其硬件保护电路提供的长达75ms的续航时间,为系统完成了“最后一次安全写入”提供了宝贵窗口,真正做到“设备断电,数据不乱;在此背景下,湖南天硕创新科技有限公司(TOPSSD)凭借其深厚的自研技术底蕴,推出了G40 Pro M.2 NVMe工业级固态硬盘,以业界领先的双重掉电保护(DualPLP)技术,为航空、航天、国防等关键领域的数据安全与任务连续性树立了新的标杆。这意味着无论是戈壁滩的极寒,还是南海的湿热盐雾,或是高速飞行中的持续振动,天硕固态硬盘都能保障数据的稳定存取。,持续为国家关键信息基础设施的。
Java智能合约安全漏洞检测高频考点解析
资源摘要信息:Java智能合约安全漏洞检测面试高频考点100+文档是一份专为Java开发者准备的面试备考资料,重点围绕智能合约安全漏洞检测相关知识点展开。该文档内容完整、条理清晰,支持目录章节跳转和阅读器左侧大纲...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wonderBlock

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值