HER:科普 | 智能合约安全审计入门篇 —— 自毁函数_HERB

By：小白@慢雾安全团队

背景概述

上次我们了解了什么是溢出漏洞和如何预防和发现它。这次我们要了解的是solidity中自带的函数——?selfdestruct自毁函数。

前置知识

我们先来了解solidity中能够转账的操作都有哪些：

1

}functionclaimReward()public{require(msg

}漏洞分析

TRON数字钱包科普资料《波场钱包的现在过去与未来》已上线:据最新消息显示，由TokenPocket联合波场TRON官方，以及 TokenPocket 社区志愿者共同撰写的《波场钱包的现在过去与未来》已正式上线。《波场钱包的现在过去与未来》又称为波场钱包小白书，详细介绍了当前TRON钱包与TRON生态密切结合的实例，是目前市面上最为详细的TRON数字钱包科普资料。波场钱包作为波场公链生态中极为重要的入口，是波场生态的重要构成要素。波场钱包从一开始只提供权限管理、转账收款、节点投票等基础功能，到如今不仅可以为用户提供法币交易、闪兑和去中心化交易所等方便快捷的交易服务，还能让用户直接在钱包上体验波场上DApp，挖矿、DeFi、Staking等资产增值服务。详情见原文链接。[2020/8/20]

EtherGame合约实现的功能是一个游戏，我们这里可以称它为“幸运七”。玩家每次向EtherGame合约中打入一个以太，第七个成功打入以太的玩家将成为winner。winner可以提取合约中的7个以太。

玩家每次玩游戏时都会调用EtherGame

functionattack()publicpayable{addresspayableaddr=payable(address(etherGame));selfdestruct(addr);}这里我们还是引用三个角色来讲解攻击合约的攻击过程

玩家一：Alice

玩家二：Bob

攻击者：Eve

1.开发者部署EtherGame合约；

2.玩家Alice决定玩游戏，她这辈子玩游戏从来没赢过，她觉得这个游戏可以让她体验一次当winner的快感，所以她决定连续调用EtherGame

}functionclaimReward()public{require(msg

}作为审计者

作为审计者我们需要结合真实的业务逻辑来查看address(this).balance的使用是否会影响合约的正常逻辑，如果会影响那我们就可以初步认为这个合约存在被攻击者强制打入非预期的资金从而影响正常业务逻辑的可能。在审计过程中还需要结合实际的代码逻辑来进行分析。

标签：HERETHETHERETHEHERBEthereumVaultTether EURtogetherbnb手游下载

火必热门资讯