智能合约

360 独角兽安全团队的 Zhenzuan Bai, Yuwei Zheng 等分享了议题《Your May Have Paid More than You Imagine:Replay Attacks on Ethereum Smart Contracts》,慢雾安全团队整理了这篇文章供大家交流参考。
这个类别非常广泛,但其基本攻击形式都是让用户短暂地(在某些情形下,是永久)推出不可操作的合约。这种攻击可以把 Ether 永远锁在被攻击的合约中,正如 Parity 多签名钱包第二次被黑中的情形一样。
Solidity缺陷易使合约状态失控的问题,其实就是 Unintialised Storage Pointers(未初始化的存储指针)的安全问题,EVM中会将数据存储为 storage 或 memory ,在函数中局部变量的默认类型取决于它们本身的类型。
这是capture the ether的write up 的另一部分,Math部分的writeup见我的上一篇文章。
Capture the Ether是一款在破解智能合约的过程中学习其安全性的游戏,跟ethernaut也类似,个人感觉质量非常高,比其ethernaut更加贴近实战。
前段时间看了智能合约里蜜罐合约的一些资料,感觉还是非常有意思的,这些蜜罐合约的利用点大都很巧妙,目的都是为了诱惑你往合约里送钱,而且目标人群也不是什么小白,恰恰是相关的技术人员反而容易着了他们的道。
智能合约越来越火,对应的暴露出来的问题也越来越多,其主流的solidity语言的很多特性感觉也慢慢得到了大家的重视,确实你能感觉到它的很多特性跟其它的语言有较大的区别,今天就简单聊聊solidity里的delegatecall
首先我们来认识一下solidity中的继承体系,其实跟python中的继承差不多,只是python中不能多继承,但是solidity的主要特点是它支持多继承。
从2016年The DAO被盗取6000万美元开始 ,到美链BEC价值归零 、BAI和EDU任意账户转帐 ,再到最近EOS漏洞允许恶意合约穿透虚拟机危害矿工节点 ,“智能合约”俨然成为区块链安全重灾区。
在了解智能合约Top10之前,我们简单说一下,OWASP Top10,这个项目会公开十大web应用程序安全风险,类似的,我们有了智能合约Top10漏洞。