因为之前每天工作都有daliy thinking,现在暂时没有条件(Github上的博客由于不可抗力的原因,写不了了,怀念MD),所以每天在博客园笔记记下来。
今天主要看了一下智能合约的安全。
1.相较于传统的漏洞而言,感觉区块链上多了整数溢出的情况特别明显。典型的漏洞是 :https://www.secpulse.com/archives/72383.html
利用整数的溢出和逻辑上的问题,导致出现上述漏洞。
2.然后感觉WEB上的不是很熟悉,若是WEB上的劫持什么的,就和传统的漏洞没有什么区别。
3.还有就是和回退函数相关的
因为回退函数的执行时机为:
当外部账户或其他合约向该合约地址发送 ether 时;
当外部账户或其他合约调用了该合约一个不存在的函数时;
当外部账户或其他合约调用了该合约一个不存在的函数时;
如果在进行 Ether 交易时目标地址是个合约地址,那么默认会调用该合约的 fallback 函数。
4.越权的函数调用
5. 挖矿中心化 以太坊前3大矿商控制着超过50%的算力,存在联合作恶的风险
常见的几种类型:
Reentrancy - 重入 gas原因
-
Access Control - 访问控制
-
Arithmetic Issues - 算术问题(整数上下溢出)
-
Unchecked Return Values For Low Level Calls - 未严格判断不安全函数调用返回值
-
Denial of Service - 拒绝服务 导致Ether和Gas的大量消耗
-
Bad Randomness - 可预测的随机处理
-
Front Running
-
Time manipulation
-
Short Address Attack - 短地址攻击
-
Unknown Unknowns - 其他未知
入职的第三天,感觉自己好废。漏洞挖掘没有思路,但是又很喜欢。坚持下去,即便挖不出来,每天的笔记还是要做的。