ETHE:科普 | 智能合约安全审计入门篇 —— 自毁函数

By：小白@慢雾安全团队

背景概述

上次我们了解了什么是溢出漏洞和如何预防和发现它。这次我们要了解的是solidity中自带的函数——?selfdestruct自毁函数。

前置知识

我们先来了解solidity中能够转账的操作都有哪些：

1

}functionclaimReward()public{require(msg

}漏洞分析

国务院：推进科普与区块链技术深度融合:为贯彻落实党中央、国务院关于科普和科学素质建设的重要部署，依据《中华人民共和国科学技术进步法》、《中华人民共和国科学技术普及法》制定《全民科学素质行动规划纲要（2021－2035年）》，其中要求实施智慧科普建设工程。推进科普与区块链等技术深度融合，强化需求感知、用户分层、情景应用理念，推动传播方式、组织动员、运营服务等创新升级，加强“科普中国”建设，强化科普信息落地应用，与智慧教育、智慧城市、智慧社区等深度融合。（新华社）[2021/7/10 0:40:52]

EtherGame合约实现的功能是一个游戏，我们这里可以称它为“幸运七”。玩家每次向EtherGame合约中打入一个以太，第七个成功打入以太的玩家将成为winner。winner可以提取合约中的7个以太。

玩家每次玩游戏时都会调用EtherGame

functionattack()publicpayable{addresspayableaddr=payable(address(etherGame));selfdestruct(addr);}这里我们还是引用三个角色来讲解攻击合约的攻击过程

中科院自动化研究所将面向大中小学生开展区块链等主题的科普讲座:5月21日，新华网讯，今年，中国科学院自动化研究所将举办第十四届“自动化之光”公众科学开放日活动。届时，自动化所将面向大中小学生分别开展《脑与智能》、《区块链技术与平行智能》、《大数据时代的视觉智能》、《动画真奇妙》等4个主题报告，用实例和生动的演示深入浅出地为大家揭示智能技术的原理和奥妙。[2018/5/21]

玩家一：Alice

玩家二：Bob

攻击者：Eve

1.开发者部署EtherGame合约；

2.玩家Alice决定玩游戏，她这辈子玩游戏从来没赢过，她觉得这个游戏可以让她体验一次当winner的快感，所以她决定连续调用EtherGame

}functionclaimReward()public{require(msg

}作为审计者

作为审计者我们需要结合真实的业务逻辑来查看address(this).balance的使用是否会影响合约的正常逻辑，如果会影响那我们就可以初步认为这个合约存在被攻击者强制打入非预期的资金从而影响正常业务逻辑的可能。在审计过程中还需要结合实际的代码逻辑来进行分析。

标签：ETHETHETHEETHERethicalvaluesetherarkThe Moontography Projectetheral代表什么意义

BNB价格热门资讯