记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

智能合约安全实践(一)| 功能实现千万条,权限安全第一条

引子: “庖人虽不治庖,尸、祝不越樽俎而代之矣。”  — 《庄子·逍遥游》古时候,有一位杰出的领袖名叫唐尧。他所治理的地区人们安居乐业,但是他听闻隐士许由十分有才干,便萌生了将领导权让给许由的想法。但是许由拒绝了,并说出了这样一段话“鹪鹩巢于深林,不过一枝。”至此,后人也用越俎代庖一词来表达越权的含义。“越俎代庖”在智能合约的实现中存在着访问权限,如果权限设置不合理,很容易造成智能合约被攻击,严重的还会造成巨大的经济损失。成都链安-安全实验室对于智能合约安全有着丰富的经验和积累,但随着区块链技术越来越受重视,智能合约的数量也越来越多,随之而来的智能合约被攻击事件也越来越多,也让我们感受到了“让区块链更安全”的企业使命是多么的重要,但是一己之力难于对抗所有的威胁,接下来,我们将会把自己的安全经验积累通
发布时间:2020-07-10 17:56 | 阅读:3647 | 评论:0 | 标签:厂商供稿 成都链安 智能合约 权限安全

智能合约代码层漏洞小记

一.前言 这周由于兴(lao)趣(shi)趋(yao)势(qiu),阅读了几篇以太坊智能合约安全综述,对其中的几个代码层漏洞进行整理归纳,并结合安全事件与相关案例进行分析,如有不正确的地方,还望各位大佬多多指正。 二.以太坊智能合约程序编程模型 1.程序结构 以太坊上的智能合约主要是通过Solidity进行编写,Solidity是一种具有面向对象性质的弱类型语言。在以太坊上部署智能合约时,开发人员需要先将使用Solidity编写的智能合约代码编译为以太坊虚拟机可执行的二进制代码。而在编译过程中,智能合约代码的入口会插入一小段称为函数选择器(Function Selector)的代码,用以在调用函数时快速跳转到相应函数并加以执行。
发布时间:2020-04-26 17:47 | 阅读:18595 | 评论:0 | 标签:漏洞 DELEGATECALL EVM External/Public Function Selector Solidi

与无源码智能合约交互的三种方式

概述在做CTF比赛中,我们经常会碰到出题方为了加大题目难度而不给出合约源码的智能合约赛题。通常在借助工具做了静态分析后,有了解题思路,但是发现不知该如何与合约进行交互。因为自己之前在做题时遇到过这个问题,在网上找了很久,包括官方接口、别人的js脚本等,总是无法执行成功。还好最终解决了问题,然后趁最近不忙,总结一下。题目背景当时是在打RoarCTF,第二题,题目给了源码(后来发现是部分)和合约地址:https://ropsten.etherscan.io/address/0x8d73365bb00a9a1a06100fdfdc22fd8a61cfff93#code因为第一次做比赛题,以为附件给出的就是全部源码,疑惑了半天。具体解题思路这里不细
发布时间:2020-03-05 12:04 | 阅读:20252 | 评论:0 | 标签:智能合约

基于智能合约的区块链跳池攻击预防方案

 0x01 Pool Hopping attack跳池攻击(Pool Hopping attack)是矿工在提供财务奖励较少时离开矿池,而在采矿产生更高奖励时又加入的结果。这种离开和重新加入矿池的行为会让矿工得到比他们贡献的计算能力更多的回报。离开矿池的矿工夺走了了矿池的集体哈希能力,这使矿池无法成功挖掘该区块,从而导致其竞争对手在其完成之前就挖掘了该块。现有很多池跳防御措施和检测策略,但是它们没有提供任何强大的预防性解决方案来阻止矿工离开矿池。本文为了防止跳池攻击,提出了一种基于智能合约的跳池攻击预防模型。主要目标是通过要求所有矿工不断贡献其计算能力来成功开采一区块,从而保持矿工之间的平等关系。实施了一个分类帐本以矿工证书的形式包含所有矿工的记录,该记录跟踪矿工
发布时间:2020-03-03 15:54 | 阅读:16444 | 评论:0 | 标签:攻击 智能合约

一个有点意思的以太坊智能合约蜜罐

一篇以前写的文,现在修改补充了些许,发了上来前言以太坊中的智能合约蜜罐相对于互联网蜜罐的目的有着本质的区别:后者着重在于诱导攻击,然后做检测分析,来收集攻击手法与漏洞;而前者更像是一场赌博的骗局,利用种种方法,诱导目标转账进入合约,完成韭菜收割。但是这个蜜罐的名词也是挺恰当的,就也这么叫了。有趣的是智能合约蜜罐其目标锁定在智能合约开发者,智能合约代码审计人员,略懂区块链技术的信息安全人员(emmmm)通常而言智能合约蜜罐的欺骗性在于区块链漏洞,逻辑漏洞;又或是赌博合约。此处介绍的是利用第三方组件导致的智能合约蜜罐。智能合约蜜罐的奇特组件——区块链浏览器蜜罐合约地址:0xcEA86636608BaCB632DfD1606A0dC1728b62
发布时间:2020-02-19 09:38 | 阅读:30001 | 评论:0 | 标签:智能合约

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词