在智能合约中,确保调用源的身份验证是很重要的,因为它可以帮助防止一些恶意操作,比如合约中的重要逻辑被未经授权的用户调用。我们知道tx.origi...
投稿
收录了13篇文章 · 1人关注
-
合约安全:替换tx.origin,使用ECDSA签名确定调用源的身份
-
合约安全:抢先提交(Front Running)
一、漏洞 与大多数区块链一样,以太坊节点汇集交易并将其打包成块。一旦矿工获得了共识机制(目前以太坊上实行的是 ETHASH[https://gi...
-
合约安全:短地址攻击
这种攻击并不是专门针对 Solidity 合约执行的,而是针对可能与之交互的第三方应用程序执行的。 一、漏洞 将参数传递给智能合约时,参数将根据...
-
合约安全:绕开外部用户地址(EOA)检查一、背景 以太坊的地址,可能是外部用户地址(Externally Owned Accounts ,缩写EOA),也可能是合约地址。有时候想要区分...
-
合约安全:操纵区块时间戳
block.timestamp历来被用于各种应用,例如随机数的函数(请参阅随机数误区[https://github.com/slowmist/K...
-
合约安全:使用外部合约隐藏恶意代码
本文说的其实不算是漏洞,更像是一个项目方的后门,也是需要注意的,尤其是使用者需要警惕的。这个案例告诉我们:开源给你看的合约代码,未必是实际执行的...
-
合约安全:tx.origin的被钓鱼风险
Solidity 中有一个全局变量,tx.origin,它遍历整个调用栈并返回最初发送调用(或交易)的帐户的地址。在智能合约中使用此变量进行身份...
-
合约安全:拒绝服务攻击(Denial of Service)
一、漏洞 这个KingOfEther合约,msg.sender可以通过claimThrone传入以太,当传入的以太数值高于balance的时候,...
-
合约安全:随机数破解
一、漏洞 这个猜数的合约很简单,即你猜对了数就给你1 ether,这个随机数生成种子采用的是block.difficulty, block.ti...
-
合约安全:delegatecall使用时的危险
一、漏洞一 我们创建了一个库合约Lib,这里面的owner变量是一种形式变量,并不参与实际的运算,仅仅用来占用storage内存的slot位置,...
专题公告
探讨以太坊智能合约安全问题。
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1881139527',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','https://upload.jianshu.io/collections/images/2000221/safe.png', '推荐专题《合约安全》( 分享自 @简书 )','https://jianshuapi.com/c/f1410c4d08e3?utm_campaign=maleskine&utm_content=collection&utm_medium=reader_share&utm_source=weibo','页面编码gb2312|utf-8默认gb2312'));){kind=link}