月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 火星币 > 正文

EOS:智能合约开发必读:这10个Solidity安全问题不容忽视_MSOL

作者:

时间:1900/1/1 0:00:00

编者按:本文来自登链社区,Odaily星球日报经授权转载。在2018年,我们曾对智能合约安全状况进行过初步研究,重点是Solidity编写的智能合约。当时,我们根据公开的合约源代码编写了最常见的10个智能合约安全问题。两年过去了该更新研究并评估智能合约安全性发展的如何了。值得关注的其他问题

尽管有一个安全问题排名很不错,但它往往一些有趣的细节,因为某些细节与排名列表并不完全一致。在深入挖掘10大问题之前,必要阐述一下原始研究中一些值得关注的亮点问题:在2018年,最主要的两个问题是外部合约拒绝服务和重入。但是现在这些问题有所缓解。可以从我们的研究博客中了解更多有关Reentrancy的信息:从安全角度出发审视智能合约。译者注:实际上由于DeFi应用之间的组合应用,又导致了多起严重的重入攻击事件。现在Solidityv0

DeFi收益管理框架Stone已完成智能合约升级:DeFi收益管理框架Stone发推称,团队今天完成了智能合约升级。所有资产已发送至用户的存款地址,并在6月22日至28日晚8时期间提供额外奖金。[2021/6/28 0:12:08]

如上例所示,在乘法之前执行的除法,可能会有巨大的舍入误差。5.依赖tx

}可以在Solidity的文档中找到TxOrigin攻击的详细说明。简单的说,tx

在上面的示例中,当i的值为0时,下一个值为2^256-1,这使条件始终为true。开发人员应当尽量使用<、>、!=和==进行比较。7.不安全的类型推导

动态 | 去中心化交易所AirSwap出现智能合约漏洞 目前已修复:据theblockcrypto报道,以太坊去中心化交易所AirSwap称,发现一个智能合约漏洞,该漏洞允许攻击者直接进行代币交易,而无需对手方确认。据AirSwap团队称,该漏洞仅在其系统中出现不到24小时,其中10个账户被确定为“有风险”。确定漏洞后,AirSwap团队进行回滚处理,并联系相应用户进行补救措施。[2019/9/15]

该问题在Solidity十大安全问题排行榜中上升了两位,现在影响到的智能合约比之前多了17%以上。Solidity支持类型推导,但有一些奇怪的表现。例如,字面量0会被推断为byte类型,而不是通常期望的整型。在下面的示例中,i的类型被推断为uint8,因为这时能够存储i的值uint8就足够。但如果elements数组包含256个以上的元素,则下面的代码就会发生溢出:for(vari=0;i<elements

动态 | EOS纽约节点提案:解决EOS代币智能合约问题和建立EOS公共发展资金计划:近期,EOS纽约节点在Medium发文提出关于“解决EOS代币智能合约问题”和“建立EOS公共发展资金计划”两个提案,具体内容如下:1.提供一个结构化和可扩展的系统,允许Dapp开发人员根据eosio.token 系统合约部署代币,同时需要15/21超级节点负责创建和发行新代币;2.通过自愿区块链经济活动的资助建立EOS公共发展计划。[2019/4/19]

在这个例子中,攻击者可能利用此行为来进行拒绝服务攻击,从而阻止其他用户接收以太币。10.时间戳依赖

在2018年,时间戳依赖问题排名第五,重要的是要记住,智能合约在不同时刻多个节点上运行的。以太坊虚拟机不提供时钟时间,并且通常用于获取时间戳的now变量实际上是矿工可以操纵的环境变量。if(timeHasCome==block

由于矿工可以操纵当前的环境变量,因此只能在不等式>、<、>=和<=中使用其值。如果你的应用需要随机性,可以参考RANDAO合约,该合约基于任何人都可以参与的去中心化自治组织,是所有参与者共同生成的随机数。总结

比较2018年和2020年十大常见问题时,我们可以观察到开发最佳实践的一些进展,尤其是那些影响安全性的实践。看到2018年排名前2位的问题:外部合约拒绝服务和重入,已经不再榜单了,这是一个积极的信号,但仍然需要采取措施来避免这类常见错误。请记住,智能合约在设计上是不可变的,这意味着一旦创建,就无法修补源代码。这对安全性构成了巨大挑战,开发人员应利用可用的安全测试工具来确保在部署之前对源代码进行了充分的测试和审核。Solidity是一种非常新且仍在成熟的编程语言,Solidityv0.6.0引入了一些重大更改,并且预计在以后的版本中还会有更多更改。来源链接:securityboulevard.com

标签:EOSSOLDITLIDEOS TrustMSOLCREDITValidity

火星币热门资讯
EFI:星球前线 | DeFi热潮何时能利好以太坊?_DeFiAI

Odaily星球日报译者|念银思唐DeFi无疑已成为目前加密行业最热门的领域。它很大程度上是由以太坊提供动力的,然而相比之下,以太坊的近期表现相对平淡.

1900/1/1 0:00:00
加密货币:加密货币市场“马太效应”愈演愈烈,投资者该何去何从?_加密货币行情INVESTING

最近加密市场还是有一些利多消息的。金融科技巨头PayPal计划直接向其3.25亿用户出售加密货币,有可能通过内置的钱包功能,方便用户买卖和存储加密货币.

1900/1/1 0:00:00
ETH:观点:ETH 2.0的通胀率有望下降至1.58%_eth2.0币价会涨吗

Overview概述ETH2.0作为以太坊网络的重大升级,不仅共识协议由之前的PoW转换为PoS,并且还有一个重大的改变,那就是ETH的全网通胀率.

1900/1/1 0:00:00
ICE:Voice终于上线,EOS能打个翻身仗吗?_EFI

本周整个市场的热点除了DeFi就是Filecoin,一开始看到确实有让人去了解的欲望,但天天被信息轰炸后难免令人有些审美疲劳,不过大致也是当前的币圈除了这两个热点就没有其他可值得关注的了吧.

1900/1/1 0:00:00
BIT:Deribit期权市场播报:0624 - 领口策略_RLY

编者按:本文来自Deribit德瑞的交易课,星球日报经授权发布。本播报由Deribit和Greeks.live联合推出.

1900/1/1 0:00:00
BAL:对当下DeFi市场大热的思考_Futuball

6月24日,基于以太坊的去中心化交易所协议Balancer正式宣布在以太坊部署其治理代币BAL。值得注意的是BAL的价格一天中从7美元涨到最高22美元,而其种子轮的价格只有0.6美元.

1900/1/1 0:00:00