编者按:本文来自登链社区,Odaily星球日报经授权转载。在2018年,我们曾对智能合约安全状况进行过初步研究,重点是Solidity编写的智能合约。当时,我们根据公开的合约源代码编写了最常见的10个智能合约安全问题。两年过去了该更新研究并评估智能合约安全性发展的如何了。值得关注的其他问题
尽管有一个安全问题排名很不错,但它往往一些有趣的细节,因为某些细节与排名列表并不完全一致。在深入挖掘10大问题之前,必要阐述一下原始研究中一些值得关注的亮点问题:在2018年,最主要的两个问题是外部合约拒绝服务和重入。但是现在这些问题有所缓解。可以从我们的研究博客中了解更多有关Reentrancy的信息:从安全角度出发审视智能合约。译者注:实际上由于DeFi应用之间的组合应用,又导致了多起严重的重入攻击事件。现在Solidityv0
以太坊ERC-20日均转移量、唯一地址数、日均验证智能合约数量等多个链上指标出现普涨:金色财经报道,最新链上指标表明以太坊使用量和网络活动正在增加,对资产需求和 ETH 价格产生了积极影响。根据 Etherscan 统计,上周 ERC-20 Token 日均转移数量突破 100 万笔,过去六个月内翻了一番;以太坊唯一地址数也达到 2.21 亿的历史新高,过去六个月增长了约 10%;此外,以太坊网络的日均交易量稳定在 100 万笔左右,表明在过去三个月中网络使用和活动并没有随着价格下降;以太坊网络上日均验证智能合约数量较去年同期增加了约 140%,据 Etherscan 数据,目前以太坊每天大约有 600 份新合约得到验证。(beincrypto)[2023/1/30 11:36:52]
如上例所示,在乘法之前执行的除法,可能会有巨大的舍入误差。5.依赖tx
Project Galaxy宣布集成波卡生态智能合约平台Clover Finance钱包:3月8日消息,NFT 基础设施服务商 Project Galaxy 宣布集成波卡生态智能合约平台 Clover Finance 钱包。用户在 Project Galaxy 页面现可通过 Clover 钱包登录。Clover Finance 生态用户可由此简单、安全的进入 Project Galaxy NFT 空间。[2022/3/8 13:44:31]
}可以在Solidity的文档中找到TxOrigin攻击的详细说明。简单的说,tx
ZB发布基于TrueChain的ZB智能合约,总量为4000万枚ZB:9月28日消息,ZB发公告称,为丰富ZB的应用场景,支持TrueChain生态建设,中币(ZB)发布基于TrueChain的ZB智能合约,总量为4000万枚ZB,合约地址为0x25A59078E24f37100D2d617FEE2D12A7729debb8。平台将于近期在ZB原合约地址(0xbd0793332e9fb844a52a205a233ef27a5b34b927)对应销毁4000万枚ZB币,并开放基于TrueChain的ZB充提业务。此次发布,ZB积分的名称、发行总量和流通量均保持不变。[2020/9/28]
在上面的示例中,当i的值为0时,下一个值为2^256-1,这使条件始终为true。开发人员应当尽量使用<、>、!=和==进行比较。7.不安全的类型推导
该问题在Solidity十大安全问题排行榜中上升了两位,现在影响到的智能合约比之前多了17%以上。Solidity支持类型推导,但有一些奇怪的表现。例如,字面量0会被推断为byte类型,而不是通常期望的整型。在下面的示例中,i的类型被推断为uint8,因为这时能够存储i的值uint8就足够。但如果elements数组包含256个以上的元素,则下面的代码就会发生溢出:for(vari=0;i<elements
在这个例子中,攻击者可能利用此行为来进行拒绝服务攻击,从而阻止其他用户接收以太币。10.时间戳依赖
在2018年,时间戳依赖问题排名第五,重要的是要记住,智能合约在不同时刻多个节点上运行的。以太坊虚拟机不提供时钟时间,并且通常用于获取时间戳的now变量实际上是矿工可以操纵的环境变量。if(timeHasCome==block
由于矿工可以操纵当前的环境变量,因此只能在不等式>、<、>=和<=中使用其值。如果你的应用需要随机性,可以参考RANDAO合约,该合约基于任何人都可以参与的去中心化自治组织,是所有参与者共同生成的随机数。总结
比较2018年和2020年十大常见问题时,我们可以观察到开发最佳实践的一些进展,尤其是那些影响安全性的实践。看到2018年排名前2位的问题:外部合约拒绝服务和重入,已经不再榜单了,这是一个积极的信号,但仍然需要采取措施来避免这类常见错误。请记住,智能合约在设计上是不可变的,这意味着一旦创建,就无法修补源代码。这对安全性构成了巨大挑战,开发人员应利用可用的安全测试工具来确保在部署之前对源代码进行了充分的测试和审核。Solidity是一种非常新且仍在成熟的编程语言,Solidityv0.6.0引入了一些重大更改,并且预计在以后的版本中还会有更多更改。来源链接:securityboulevard.com
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。