以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 酷幣 > Info

DIT:智能合約開發必讀:這10個Solidity安全問題不容忽視

Author:

Time:1900/1/1 0:00:00

編者按:本文來自登鏈社區,Odaily星球日報經授權轉載。在2018年,我們曾對智能合約安全狀況進行過初步研究,重點是Solidity編寫的智能合約。當時,我們根據公開的合約源代碼編寫了最常見的10個智能合約安全問題。兩年過去了該更新研究并評估智能合約安全性發展的如何了。值得關注的其他問題

盡管有一個安全問題排名很不錯,但它往往一些有趣的細節,因為某些細節與排名列表并不完全一致。在深入挖掘10大問題之前,必要闡述一下原始研究中一些值得關注的亮點問題:在2018年,最主要的兩個問題是外部合約拒絕服務和重入。但是現在這些問題有所緩解。可以從我們的研究博客中了解更多有關Reentrancy的信息:從安全角度出發審視智能合約。譯者注:實際上由于DeFi應用之間的組合應用,又導致了多起嚴重的重入攻擊事件。現在Solidityv0

隱私基礎設施Nym發布兩個更新版本,優化混合節點和歸屬智能合約:5月7日消息,據官方推特,隱私基礎設施Nym發布v1.0.0和v1.0.1版本。v1.0.0的主要更新包括:對混合節點和歸屬智能合約進行了大量優化;降低獎勵系統的運行成本;重構validator-api二進制文件,即將推出API文檔。v1.0.1涉及驗證器客戶端的一個小補丁以及向validator-api添加了一個API端點來查詢平均混合節點正常運行時間。[2022/5/7 2:57:05]

如上例所示,在乘法之前執行的除法,可能會有巨大的舍入誤差。5.依賴tx

以太坊技術服務商Open Zeppelin開源智能合約安全注冊表,提供聯系人緊急通知及通信服務:11月9日消息,以太坊技術服務商Open Zeppelin宣布開源智能合約安全注冊表(SmartContractSecurityRegistry),該安全注冊表將識別智能合約屬性和在安全事件發生時尋找緊急聯系人,降低漏洞被利用的可能性,并且為去中心化項目間提供與適當聯系人通信的方式。

注冊表中的信息包括重要的聯系地址,如電子郵件地址或Telegram,Open Zeppelin表示不會因為安全以外的任何原因而聯系這個名單上的任何人。項目可以通過添加以下信息加入注冊表:項目標識符、項目名稱、Github組織、安全聯系人電子郵件、部署的網絡,以及使用Open Zeppelin的庫部署智能合約的地址。[2021/11/9 6:41:28]

}可以在Solidity的文檔中找到TxOrigin攻擊的詳細說明。簡單的說,tx

動態 | 騰訊《區塊鏈智能合約安全技術要求》標準獲CCSA TC8立項:11月22日,由中國通信標準化協會主辦、深圳市騰訊計算機系統有限公司承辦的網絡與信息安全技術工作委員會(CCSA TC8)第二十六次全會在廣州市順利落幕。騰訊公司在云服務和區塊鏈兩大領域提出的《云客戶信息安全管理體系評估指南》和《區塊鏈智能合約安全技術要求》兩項標準在會上成功立項,助力互聯網信息安全標準化體系的建立健全,為產業互聯網的安全發展提供新的保障。[2019/11/23]

在上面的示例中,當i的值為0時,下一個值為2^256-1,這使條件始終為true。開發人員應當盡量使用<、>、!=和==進行比較。7.不安全的類型推導

該問題在Solidity十大安全問題排行榜中上升了兩位,現在影響到的智能合約比之前多了17%以上。Solidity支持類型推導,但有一些奇怪的表現。例如,字面量0會被推斷為byte類型,而不是通常期望的整型。在下面的示例中,i的類型被推斷為uint8,因為這時能夠存儲i的值uint8就足夠。但如果elements數組包含256個以上的元素,則下面的代碼就會發生溢出:for(vari=0;i<elements

在這個例子中,攻擊者可能利用此行為來進行拒絕服務攻擊,從而阻止其他用戶接收以太幣。10.時間戳依賴

在2018年,時間戳依賴問題排名第五,重要的是要記住,智能合約在不同時刻多個節點上運行的。以太坊虛擬機不提供時鐘時間,并且通常用于獲取時間戳的now變量實際上是礦工可以操縱的環境變量。if(timeHasCome==block

由于礦工可以操縱當前的環境變量,因此只能在不等式>、<、>=和<=中使用其值。如果你的應用需要隨機性,可以參考RANDAO合約,該合約基于任何人都可以參與的去中心化自治組織,是所有參與者共同生成的隨機數。總結

比較2018年和2020年十大常見問題時,我們可以觀察到開發最佳實踐的一些進展,尤其是那些影響安全性的實踐。看到2018年排名前2位的問題:外部合約拒絕服務和重入,已經不再榜單了,這是一個積極的信號,但仍然需要采取措施來避免這類常見錯誤。請記住,智能合約在設計上是不可變的,這意味著一旦創建,就無法修補源代碼。這對安全性構成了巨大挑戰,開發人員應利用可用的安全測試工具來確保在部署之前對源代碼進行了充分的測試和審核。Solidity是一種非常新且仍在成熟的編程語言,Solidityv0.6.0引入了一些重大更改,并且預計在以后的版本中還會有更多更改。來源鏈接:securityboulevard.com

Tags:LIDSOLIDSOLDITMOSOLIDsol幣最新消息今日Creditcoin

酷幣
GEM:拍了拍滴滴出行,央行數字幣這次真的來了

乘滴滴快車,用真數字貨幣,想趕這個潮流嗎?安排,央行拍了拍滴滴,默契地點了點頭。7月8日,央行數字貨幣研究所與滴滴出行正式達成戰略合作協議,共同研究探索數字人民幣在智慧出行領域的場景創新和應用.

1900/1/1 0:00:00
UNI:幣圈假幣泛濫:造假團伙騙走上億,買別墅開豪車

文|棘輪比薩合約爆倉、資金盤跑路,被ICO和殺豬盤收割……在幣圈,玩家們遭遇的坑,可謂不勝枚舉。但許多人都想不到,他們甚至可能還被“假幣”所害。近期,幣圈假幣案件層出不窮.

1900/1/1 0:00:00
以太坊:以太坊是協議盆地,DeFi是江河般的全球公共物品

編者按:本文來自鏈聞ChainNews,撰文:DavidHoffman,POVCrypto主持人兼RealT首席運營官,編譯:詹涓,星球日報經授權發布.

1900/1/1 0:00:00
HOL:以太坊2.0 PoS經濟分析:三大變量決定網絡的安全性

編者按:本文來自巴比特資訊,作者:TannerHoban和TomBorgers,譯者:灑脫喜,星球日報經授權發布.

1900/1/1 0:00:00
NCE:成都鏈安:從balancer事件看DeFi安全問題

2019年以來,DeFi逐漸成為區塊鏈的熱點,一時間大量資金開始涌入各類DeFi項目。自Synthetix項目嶄露頭角后,DeFi項目如雨后春筍般紛紛出現在人們的視線里.

1900/1/1 0:00:00
ALI:一文了解狀態通道的現狀

編者按:本文來自區塊記,星球日報經授權發布。在這篇文章中,我們將了解狀態通道如何工作的基礎知識,以及為什么它們的實現很復雜.

1900/1/1 0:00:00
ads