智能合约安全之Solidity函数默认可见性漏洞

最新推荐文章于 2024-06-03 16:02:52 发布
置顶 最新推荐文章于 2024-06-03 16:02:52 发布
阅读量1.7k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 区块链 文章标签: 智能合约 安全 以太坊
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zyq55917/article/details/124674311
本文探讨了Solidity中函数可见性的重要性,如何导致潜在的安全漏洞,以及如何通过明确函数可见性来避免这些问题。通过实例分析和修复建议,展示了正确设置函数可见性的最佳实践,包括公共与私有的区分,以确保智能合约的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞原理

在 Solidity 中,函数有可见性类型,指示函数被允许如何被调用。可见性决定了函数是否可以由用户、其他派生合约、仅在内部或外部调用。函数有四个可见性类型(关于函数的可见性详见另一篇博文 Solidity语言详解——函数和状态变量的可见性及Getter函数)。Solidity 中的函数默认为公共的,即允许用户或合约从外部调用它们。不正确地使用函数可见性可能会导致智能合约中的一些破坏性漏洞。

安全隐患

Solidity 中函数的默认可见性是 public。因此,没有指定任何可见性的函数将被外部用户或合约调用。当开发人员错误地忽略了应该是私有 (或仅在合约内部可调用) 的函数的可见性说明时,问题就出现了。

让我们来看一下这个合约例子:

// SPDX-License-Identifier: MIT
pragma solidity ^0.4.18;

contract HashForEther {
    function withdrawWinnings() {
        // Winner if the last 8 hex characters of the address are 0.
        require(uint32(msg.sender) == 0);
        withdraw();
     }

     function withdraw() {
         msg.sender.transfer(this.balance);
     }
}

这个简单的合约被设计成一个地址猜测赏金游戏。为了赢得合约的余额,用户必须生成一个最后 8 个十六进制字符为 0 的以太坊地址。一旦获得,它们可以调用 withdraw() 函数来获得奖励。

不幸的是,合约中函数的可见性没有被指定。特别是,withdraw() 函数是公共的,因此任何合约都可以调用该函数来窃取奖金。

如何预防

最好总是在合约中指定所有函数的可见性,即使它们是有意公开的。Solidity 的最新版本现在会在编译过程中对没有显式指定可见性的函数显示警告或错误提示,这样就可以预防此类错误的发生。

以下是经修复后的合约代码,通过将 withdraw() 的可见性设置为 private 来限制该函数仅允许在合约内部调用。

// SPDX-License-Identifier: MIT
pragma solidity ^0.4.18;

contract HashForEtherFixed {
    function withdrawWinnings() public {
        // Winner if the last 8 hex characters of the address are 0.
        require(uint32(msg.sender) == 0);
        withdraw();
     }

     function withdraw() private {
         msg.sender.transfer(this.balance);
     }
}
智能合约基础:Solidity语法速成
qq_42568323的博客
06-30 743
本文提供Solidity智能合约开发全面指南,涵盖基础语法到高级特性。首先介绍合约结构、数据类型等基础知识,重点讲解可见性修饰符、状态可变性和错误处理等核心概念。随后深入高级主题,包括继承与接口、修饰器设计以及委托调用和代理合约实现。通过一个DeFi质押合约实例,展示了Solidity在实际应用中的综合运用。文章采用代码示例与理论说明相结合的方式,帮助开发者快速掌握以太坊智能合约开发的关键技术。
11、Solidity深入解析:函数、事件、继承及安全漏洞剖析
最新发布
f9g0h的博客
07-21 9
本文深入解析了 Solidity 编程语言中的核心概念,包括函数类型与可见性、事件机制、继承特性、库的使用以及表达式与控制结构。同时,通过剖析 Parity 黑客攻击事件,揭示了智能合约中潜在的安全漏洞及其防范措施。文章还介绍了优化器和调试技巧,为开发者提供了编写安全高效智能合约的实用建议。
智能合约安全——溢出漏洞
FingerNFT的博客
07-28 992
如果一个合约有溢出漏洞的话会导致计算的实际结果和预期的结果产生非常大的差异,这样轻则会影响合约的正常逻辑,重则会导致合约中的资金丢失。所以这个参数可以认为在攻击者的角度是不可用的。1.deposit函数存在两个运算操作,第一个是影响用户存入的余额balances的,这里传入的参数是可控的所以这里会有溢出的风险,另一个是影响用户的锁定时间lockTime的,但是这里的运算逻辑是每次调用deposit存入代币时会给lockTime增加一周,由于这里的参数不可控所以这个运算不会存在溢出风险。...
零时科技|solidity智能合约基础漏洞——重入漏洞
m0_37598434的博客
02-25 3975
区块链领域的安全问题不容忽视,这就要求开发者必须时刻小心谨慎,养成防御性编程思维
35.Solidity-默认生成的函数
Shark_CSB的博客
11-20 194
Solidity-public等默认生成**方法
安全连载——优快云区块链大本营出品
优快云 人工智能
10-29 1071
史上杀伤力最大的溢出型漏洞到底是什么?看这一篇就够了 | 第1期 4月发生的BEC事件以及SMT事件已经沉淀一段时间了,具体的情况也被多方媒体所报道,相关的漏洞根源问题也有很多大神团队的分析和指正。近日,有安全团队将各种已经发生或可能发生的类似溢出漏洞原理进行整理,再次将全方位的原理分析与大家分享,让大家对溢出型漏洞有全面的认识。 “冰封”合约背后的老牌劲敌——拒绝服务漏洞 | 第2期 目前区块...
解密智能合约TOP10安全漏洞
热门推荐
softgmx的博客
11-22 1万+
以下都是来自我的新作《解密EVM机制及合约安全漏洞》里的内容 电子版PDF下载:https://download.youkuaiyun.com/download/softgmx/10800947   重入问题 漏洞成立的条件: 合约调用带有足够的gas 有转账功能(payable) 状态变量在重入函数调用之后 底层转账函数 防重入 错误处理 ...
Solidity高级特性:函数可见性和类型管理提升安全与效率
通过合理运用这些高级特性, Solidity编程可以创建安全、高效且易于理解的智能合约,提升链上资源的使用效率,并降低潜在的错误和漏洞风险。在实际开发中,开发者需要根据合约的具体需求选择合适的函数可见性和类型...
区块链智能合约开发
2201_76041915的博客
02-27 5847
合约是经过双方或多方同意,约定立即执行或在将来执行一项交易的法律文件。因为合约是法律文件,所以它具有强制性和可执行性。合约应用的场景很多,例如:一个人和保险公司签订合同购买健康险,一个人从另外一个人手里购买一块土地,个公司出售股权给另外一家公司。
智能合约审计必备:Solidity审核清单要点解析
1. 功能可见性: Solidity中的函数和变量具有三种可见性修饰符:public、external和internal。只有在需要从合约外部访问时,才将函数或变量声明为public或external。所有未指定的功能默认为internal,这意味着它们...
Solidity 合约安全,常见漏洞 (上篇)
dzqxwzoe的博客
03-06 1112
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…上面列出的问题是智能合约被黑的主要途径,但还有很多其他的根本原因,可以串联成重大问题,下面记录了这些问题。给管理员的权力太少。
solidity常见漏洞!学习并规避它
weixin_74163644的博客
06-03 2528
因为签名这笔交易的地址为 Alice 的 EOA 地址,所以对于 Wallet 合约来说 tx.origin 就是 Alice 的 EOA 地址,所以 Eve 成功利用钓鱼伪造了 Alice 的身份,通过了权限检查并成功将 Wallet 合约中的以太转移到了自己的账户中。在Polygon上,重组的深度可以达到30个或更多的区块,所以等待更少的区块会使应用变得脆弱(当zk-evm成为Polygon上的标准共识时,这种情况可能会改变,因为最终性将与以太坊的一致,但这是未来的预测,而不是目前的事实)。
以太坊Solidity智能合约安全之短地址或参数攻击漏洞的原理及预防
StevenX5
05-19 1965
这个漏洞发生在第三方合约或应用程序调用智能合约时。当将参数传递给智能合约时,参数将根据 ABI 规范进行编码。第三方合约可以发送比预期参数长度短的编码参数。在这种情况下,EVM 将在编码参数的末尾填充 0,以弥补预期的长度。这样,当智能合约不验证输入时,这就会成为一个问题。最明显的例子是,当用户请求提款时,交易所不验证 ERC20 令牌的地址。本文介绍了以太坊Solidity智能合约的短地址/参数攻击漏洞原理、攻击方法和预防措施。
《我学区块链》—— 十五、以太坊安全Solidity 类型漏洞
xuguangyuansh的博客
07-31 454
十五、合约安全Solidity 类型漏洞 漏洞描述        2016年10月30日,以太坊智能合约开发语言 Solidity 本身,被发现存在安全漏洞。      &am
solidity 合约权限授权_智能合约:整数溢出、访问控制缺陷漏洞与跨合约调用漏洞...
weixin_39956451的博客
11-25 1361
整数溢出:漏洞简介:简单来说,就是Solidity整形变量被赋值高于或者低于可以表示的范围时 值会发生改变 一般会溢出为2的uint类型次方 -1 或者 0:**上溢:会溢出为0下溢:会溢为2*n-1 如果是uint256 即为:2的256次方 -1漏洞通常出现地方:1.条件检测的地方容易出现2.任何计算的地方都可能出现规避方法:1.在solidity中运算之前 必须对输入和输出进行有效...
solidity漏洞实践(二)
m0_68764244的博客
10-07 537
三个solidity的复杂题型实践
Solidity-可见性(五)
sdsdjjd的博客
11-07 321
函数、状态变量可见性
solidity:4.函数可见性与修饰符
qq_34793644的博客
01-07 1万+
一. 函数可见性 public - 支持内部或外部调用 private - 仅在当前合约合约调用,且不可被继承 internal- 只支持内部调用 external - 不支持内部调用 // SPDX-License-Identifier: GPL-3.0 pragma solidity ^0.8.0; contract VisibilityA{ uint public x; function t1() public pure returns(string memory) {
solidity智能合约安全 (一)
m0_73039814的博客
05-02 3009
在区块链的发展中,出现了各种各样的合约漏洞,在solidity的迭代中,虽然有部分漏洞已经修复了,但是漏洞是会一直存在的。下面我将讲诉部分合约的经典漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

StevenX5

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值