《我学区块链》—— 十五、以太坊安全之 Solidity 类型漏洞

最新推荐文章于 2024-06-03 16:02:52 发布
最新推荐文章于 2024-06-03 16:02:52 发布
阅读量455 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 《我学区块链》 文章标签: Solidity漏洞 无法撤回
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xuguangyuansh/article/details/81303062
2016年10月,以太坊智能合约语言Solidity被曝出类型漏洞,影响部分地址及数据类型。漏洞发布两天后,Solidity推出0.4.4修复版,但已发布的合约无法升级。通过分析,仅4个合约受影响且无以太币。建议使用最新Solidity版本,缩短合约运行周期,设置交易资金上限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

十五、以太坊安全之 Solidity 类型漏洞

漏洞描述

       2016年10月30日,以太坊的智能合约开发语言 Solidity 本身,被发现存在安全漏洞。

       目前只知道这是一个 Solidity 数据类型的漏洞,影响了智能合约中一些地址以及数据类型,由于漏洞的详细情况实在无法找到,这里先占个位,待以后补充。

       但也不是全无所得,具体可参考下面 [目前情况]。

目前情况

       1、漏洞发布的两天后,2016年11月01日,Solidity 推出了修复版 0.4.4,但已经发布的有问题合约仍旧无法升级。

       2、由于发现及时,这一漏洞不会影响到太多合约,据 Solidity 语言的创造者 Christian Reitwiessner表示,其通过对 etherscan 上的合约程序进行 “半自动” 分析,发现在 12,000 个合约当中,只有 4个是有问题的,且这些合约中都没有以太币。

       3、这次问题主要是由 Solidity 源码编译到字节码时发生的,鉴于以太坊及 Solidity 都是较新的事物,问题一定会很多,而 Solidity 语言又保持着快速更新,因此,我们在编译智能合约时尽可能都升级到最新的 Solidity 版本。

       4、另一个避免智能合约安全问题的思路是,缩短它们的运行时间,定期迭代新的合约,以减少影响的发生。

       5、还一个思路是设置每次交易资金的上限。

智能合约安全审计平台——以太坊虚拟机安全沙箱
qq_42568323的博客
04-14 1193
区块链技术特别是以太坊平台的发展,使得智能合约成为开发分布式应用的重要组件。然而,智能合约的执行环境——以太坊虚拟机(Ethereum Virtual Machine, EVM)本身在设计时就面临着复杂的安全性挑战。如何确保在允许合约执行的同时,有效防范潜在的漏洞、恶意代码注入以及拒绝服务攻击等问题,成为亟待解决的难题。为此,本项目提出了“以太坊虚拟机安全沙箱”技术,通过在虚拟机之上构建安全隔离层,严格控制执行权限、资源使用和信息传递,确保即使在执行不可信代码时,也能有效保护系统整体安全。在本文中,我们将详
以太坊以太坊solidity合约)
吾名招财的博客
07-15 1687
Web3.js是以太坊提供的一个Javascript库,提供了一系列与区块链交互的Javascript对象和函数,包括查看网络状态,查看本地账户、查看交易和区块、发送交易、编译/部署智能合约、调用智能合约等 (提供了点对点网络交互的API)只需要有个钱包,就可以下载分布式账本里的区块信息,每个账本有区块数据,有合约部署调用,又称分布式数据库,只支持solidity的调用,为什么要solidity的原因。一旦部署成功,每个合约会有一个地址,以后可以通过这个地址去调用合约中的函数,或修改合约中的状态。
solidity漏洞实践(二)
m0_68764244的博客
10-07 537
三个solidity的复杂题型实践
solidity常见漏洞习并规避它
weixin_74163644的博客
06-03 2539
因为签名这笔交易的地址为 Alice 的 EOA 地址,所以对于 Wallet 合约来说 tx.origin 就是 Alice 的 EOA 地址,所以 Eve 成功利用钓鱼伪造了 Alice 的身份,通过了权限检查并成功将 Wallet 合约中的以太转移到了自己的账户中。在Polygon上,重组的深度可以达到30个或更多的区块,所以等待更少的区块会使应用变得脆弱(当zk-evm成为Polygon上的标准共识时,这种情况可能会改变,因为最终性将与以太坊的一致,但这是未来的预测,而不是目前的事实)。
Solidity智能合约编程漏洞及对策
weixin_33935777的博客
05-28 241
2019独角兽企业重金招聘Python工程师标准>>> ...
零时科技|solidity智能合约基础漏洞——重入漏洞
m0_37598434的博客
02-25 3980
区块链领域的安全问题不容忽视,这就要求开发者必须时刻小心谨慎,养成防御性编程思维
solidity 特性导致的漏洞
SHELLCODE_8BIT的博客
12-14 1621
由于合约设置参与者每次提交的 Ether 数为 0.5,提交多次后就会达到10 Ether,因此攻击者就可以创建带有 selfdestruct() 函数的合约,通过 selfdestruct() 函数强制给它提供 0.1 Ether,当强制转入的 0.1 Ether 进入条件判断,最终的计算数值将永远不会成为整数,this.balance==finalMileStone 判断将永远不会成立,导致参与者永远不会获得奖励。浮点型,定长浮点型——Solidity目前暂时不支持浮点型,也不完全支持定长浮点型。
基于以太坊Solidity 构建的智能合约套件,资料齐全+详细文档.zip
最新发布
12-08
基于以太坊Solidity 构建的智能合约套件,用于桥接链上活动与链下计算工作负载。该 SDK 通过管理用户订阅、编码解码数据以及确保区块链与外部计算资源之间的安全、高效通信,实现了去中心化计算任务的自动化处理...
以太坊Solidity智能合约安全之短地址或参数攻击漏洞的原理及预防
StevenX5
05-19 1977
这个漏洞发生在第三方合约或应用程序调用智能合约时。当将参数传递给智能合约时,参数将根据 ABI 规范进行编码。第三方合约可以发送比预期参数长度短的编码参数。在这种情况下,EVM 将在编码参数的末尾填充 0,以弥补预期的长度。这样,当智能合约不验证输入时,这就会成为一个问题。最明显的例子是,当用户请求提款时,交易所不验证 ERC20 令牌的地址。本文介绍了以太坊Solidity智能合约的短地址/参数攻击漏洞原理、攻击方法和预防措施。
以太坊Solidity未初始化存储指针安全风险浅析.pdf
08-08
本文档《以太坊Solidity未初始化存储指针安全风险浅析》将重点探讨Solidity中一种潜在的安全隐患——未初始化存储指针的安全风险。 ### Solidity未初始化存储指针安全风险 在Solidity中,EVM(以太坊虚拟机)将...
Solidity 合约安全,常见漏洞 (上篇)
08-23 2243
这个智能合约安全系列提供了一个广泛的列表,列出了在 Solidity 智能合约中容易反复出现的问题和漏洞Solidity 中的安全问题可以归结为智能合约的行为方式不符合它们的意图。我们不可能对所有可能出错的事情做一个全面的列表。然而,正如传统的软件工程有常见的漏洞主题,如 SQL 注入、缓冲区超限和跨网站脚本,智能合约中也有反复出现的。
solidity漏洞实践(一)
m0_68764244的博客
06-20 369
漏洞源码如下 这里面我发现了两个漏洞 一是在transfer中可能出现uint256溢出漏洞 二是在fakeflashloan中可能出现的call注入漏洞 于是 要拿到flag的第一个条件可用溢出漏洞解决 第二个条件可用call注入漏洞解决 一. 成功满足第一个require二. 成功满足第二个require调用complete函数后成功获取flag! 由于自己本身对该漏洞方面的题目不是很熟悉,所以几乎是看了别人的解决方法自己动手实践了一次,请多见谅。...
零时科技|solidity智能合约基础漏洞——整数溢出漏洞
m0_37598434的博客
02-24 4343
黑客往往会利用溢出构造一个极小值/极大值,从而绕过某些检查,使巨额恶意转账得以成功。
智能合约安全Solidity函数默认可见性漏洞
StevenX5
05-09 1797
Solidity 中,函数有可见性类型,指示函数被允许如何被调用。可见性决定了函数是否可以由用户、其他派生合约、仅在内部或外部调用。函数默认为公共的,即允许用户或合约从外部调用它们。不正确地使用函数可见性可能会导致智能合约中的一些破坏性漏洞。本文通过 Solidity 函数默认可见性漏洞原理的阐述,并结合智能合约实例代码的演示,介绍了一种函数默认可见性漏洞的原理及其解决方法。
solidity 合约权限授权_智能合约:整数溢出、访问控制缺陷漏洞与跨合约调用漏洞...
weixin_39956451的博客
11-25 1364
整数溢出:漏洞简介:简单来说,就是Solidity整形变量被赋值高于或者低于可以表示的范围时 值会发生改变 一般会溢出为2的uint类型次方 -1 或者 0:**上溢:会溢出为0下溢:会溢为2*n-1 如果是uint256 即为:2的256次方 -1漏洞通常出现地方:1.条件检测的地方容易出现2.任何计算的地方都可能出现规避方法:1.在solidity中运算之前 必须对输入和输出进行有效...
长文 | 深度解析Solidity让老司机翻车的17个坑及超详细避坑指南,建议先马后看(附送独家资源)...
区块链大本营
08-12 3832
作者:Dr Adrian Manning译者:老曹、Aholiab说起Solidity,虽然还很初级,但无疑已成为今天区块链开发的常用语言之一,今天以太坊智能合约的很多字...
智能合约随想——一些简单的Solidity智能合约漏洞/攻击
weixin_73794026的博客
04-25 1693
一个没啥干货的Solidity智能合约审计随想,外加一些杂七杂八的知识,大佬们轻点喷QAQ
solidity编写智能合约的安全漏洞问题(二)
Messi-Q Blog
08-30 3938
智能合约是“不可变的”。一旦部署,它们的代码是不能更改的,导致无法修复任何发现的bug。 在潜在的未来里,整个组织都由智能合约代码管控,对于适当的安全性需求巨大。过去的黑客如TheDAO或去年的Parity黑客(7月、11月)提高了开发者们的警惕,还有很长的路要走。 常见的 Solidity漏洞类型: Reentrancy - 重入 Access Control - 访问控制 Ari...
solidity编写智能合约的安全漏洞问题(一)
Messi-Q Blog
08-24 2031
回顾 3 个底层调用 call(), delegatecall(), callcode() 和 3 个转币函数 call.value()(), send(), transfer(): - call() call() 用于 Solidity 进行外部调用,例如调用外部合约函数 <address>.call(bytes4(keccak("somefunc(params)"), para...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值