web3系列——重入攻击(solidity)

我们的BNB3项目目前处于推广阶段了!希望尊敬的各位程序员来加入!

最近DEXX被盗了😂,我又双叒开始入门合约安全!确实,在web2似乎很少遇见hacker,但是在新的领域,真的需要各位优秀的程序员加入!!

什么是智能合约中的重入攻击?如何防范这种攻击?

防范措施:

  • 使用 Checks-Effects-Interactions 模式:先进行检查,修改合约状态,再与外部合约交互。
  • 使用 Reentrancy Guard:通过在合约中引入状态标志,防止重入调用。

攻击原理

  1. 合约 A 调用合约 B 的一个函数,转账或执行其他逻辑。
  2. 合约 B 在逻辑中调用外部合约 C(通常是攻击者的合约)。
  3. 合约 C 的回调函数再次调用合约 A 的函数,而此时合约 A 尚未完成状态更新,可能导致重复执行敏感逻辑(例如转账资金),从而被攻击者多次利用。

Vulnerable 合约

这是一个简单的提款合约,用户可以存款并提取他们的余额,但存在重入漏洞。

Attacker 合约 攻击者合约通过构造恶意逻辑,在回调函数中反复调用 withdraw 函数,窃取 Vulnerable 合约的资金。

解决办法

  • 将状态更新放在外部调用之前(采用检查-效应-交互模式)。

    solidity 复制代码
    function withdraw(uint256 amount) public nonReentrant {
        require(balances[msg.sender] >= amount, "Insufficient balance");
    
        // 更新余额
        balances[msg.sender] -= amount;
    
        // 转账操作
        (bool success, ) = msg.sender.call{value: amount}("");
        require(success, "Transfer failed");
    }
  • 使用 OpenZeppelin 的 ReentrancyGuard 防止重入攻击。

solidity 复制代码
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;

import "@openzeppelin/contracts/security/ReentrancyGuard.sol";

contract SecureContract is ReentrancyGuard {
    mapping(address => uint256) public balances;

    // 用户存款
    function deposit() public payable {
        balances[msg.sender] += msg.value;
    }

    // 防止重入的提款函数
    function withdraw(uint256 amount) public nonReentrant {
        require(balances[msg.sender] >= amount, "Insufficient balance");

        // 更新余额
        balances[msg.sender] -= amount;

        // 执行外部调用
        (bool success, ) = msg.sender.call{value: amount}("");
        require(success, "Transfer failed");
    }

    // 获取合约余额
    function getContractBalance() public view returns (uint256) {
        return address(this).balance;
    }
}

ps: BNB3平台在测试上线了,欢迎各位来玩😊

相关推荐
电报号dapp1192 小时前
链游新纪元——链游平台开发引领游戏新潮流!
游戏·web3·去中心化·区块链
电报号dapp1192 小时前
区块链合约交易所开发攻略
web3·去中心化·区块链·智能合约
Sui_Network4 小时前
tBTC 现已上线 Sui,带来 5 亿美元的比特币流动性
人工智能·物联网·web3·区块链·量子计算
木西9 小时前
ERC721与ERC721A:NFT标准的对比与特性分析
web3·智能合约·solidity
寻月隐君11 小时前
【Solana 开发实战】轻松搞定链上 IDL:从上传到获取全解析
后端·web3·github
Ashlee_code1 天前
什么是Web3?金融解决方案
开发语言·金融·架构·eclipse·web3·区块链·php
leijiwen4 天前
花尖墨 Web3 水果品牌白皮书
web3
Jamie201901064 天前
web3云服务和传统云有啥区别
web3
链上Sniper5 天前
智能合约状态快照技术:实现 EVM 状态的快速同步与回滚
java·大数据·linux·运维·web3·区块链·智能合约
FreeBuf_5 天前
朝鲜APT组织使用Nim语言恶意软件对macOS发起隐秘Web3与加密货币攻击
macos·web3·策略模式