web3系列——重入攻击(solidity)

我们的BNB3项目目前处于推广阶段了!希望尊敬的各位程序员来加入!

最近DEXX被盗了😂,我又双叒开始入门合约安全!确实,在web2似乎很少遇见hacker,但是在新的领域,真的需要各位优秀的程序员加入!!

什么是智能合约中的重入攻击?如何防范这种攻击?

防范措施:

  • 使用 Checks-Effects-Interactions 模式:先进行检查,修改合约状态,再与外部合约交互。
  • 使用 Reentrancy Guard:通过在合约中引入状态标志,防止重入调用。

攻击原理

  1. 合约 A 调用合约 B 的一个函数,转账或执行其他逻辑。
  2. 合约 B 在逻辑中调用外部合约 C(通常是攻击者的合约)。
  3. 合约 C 的回调函数再次调用合约 A 的函数,而此时合约 A 尚未完成状态更新,可能导致重复执行敏感逻辑(例如转账资金),从而被攻击者多次利用。

Vulnerable 合约

这是一个简单的提款合约,用户可以存款并提取他们的余额,但存在重入漏洞。

Attacker 合约 攻击者合约通过构造恶意逻辑,在回调函数中反复调用 withdraw 函数,窃取 Vulnerable 合约的资金。

解决办法

  • 将状态更新放在外部调用之前(采用检查-效应-交互模式)。

    solidity 复制代码
    function withdraw(uint256 amount) public nonReentrant {
        require(balances[msg.sender] >= amount, "Insufficient balance");
    
        // 更新余额
        balances[msg.sender] -= amount;
    
        // 转账操作
        (bool success, ) = msg.sender.call{value: amount}("");
        require(success, "Transfer failed");
    }
  • 使用 OpenZeppelin 的 ReentrancyGuard 防止重入攻击。

solidity 复制代码
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;

import "@openzeppelin/contracts/security/ReentrancyGuard.sol";

contract SecureContract is ReentrancyGuard {
    mapping(address => uint256) public balances;

    // 用户存款
    function deposit() public payable {
        balances[msg.sender] += msg.value;
    }

    // 防止重入的提款函数
    function withdraw(uint256 amount) public nonReentrant {
        require(balances[msg.sender] >= amount, "Insufficient balance");

        // 更新余额
        balances[msg.sender] -= amount;

        // 执行外部调用
        (bool success, ) = msg.sender.call{value: amount}("");
        require(success, "Transfer failed");
    }

    // 获取合约余额
    function getContractBalance() public view returns (uint256) {
        return address(this).balance;
    }
}

ps: BNB3平台在测试上线了,欢迎各位来玩😊

相关推荐
dingzd951 天前
利用加密技术保障区块链安全
安全·web3·区块链·facebook·tiktok·instagram·clonbrowser
元宇宙时间1 天前
RWA加密金融高峰论坛&星链品牌全球发布 —— 稳定币与Web3的香港新篇章
人工智能·web3·区块链
木西3 天前
React Native DApp 开发全栈实战·从 0 到 1 系列(eas构建自定义客户端)
react native·web3·app
TechubNews4 天前
加密资产投资的六种策略:稳定币合规后的 Web3 投资和 RWA
人工智能·web3
gaog2zh4 天前
0301-solidity进阶-区块链-web3
web3·区块链·solidity
二十雨辰6 天前
[TG开发]照片机器人
java·web3
终端域名6 天前
中本聪思想与Web3的困境:从理论到现实的跨越
web3·区块链·元宇宙
电报号dapp1198 天前
公链开发竞争白热化:如何设计下一代高性能、可扩展的区块链基础设施?
web3·去中心化·区块链·智能合约
Dynadot_tech8 天前
区块链 + 域名Web3时代域名投资的新风口(上)
web3·区块链·域名·dynadot·域名市场·域名投资
微客鸟窝10 天前
ethers.js 开发的核心场景
web3