区块链安全研究的总结

因为之前每天工作都有daliy thinking,现在暂时没有条件(Github上的博客由于不可抗力的原因,写不了了,怀念MD),所以每天在博客园笔记记下来。

今天主要看了一下智能合约的安全。

1.相较于传统的漏洞而言,感觉区块链上多了整数溢出的情况特别明显。典型的漏洞是 :https://www.secpulse.com/archives/72383.html

利用整数的溢出和逻辑上的问题,导致出现上述漏洞。

2.然后感觉WEB上的不是很熟悉,若是WEB上的劫持什么的,就和传统的漏洞没有什么区别。

3.还有就是和回退函数相关的 

     因为回退函数的执行时机为:

     当外部账户或其他合约向该合约地址发送 ether 时;
     当外部账户或其他合约调用了该合约一个不存在的函数时;
如果在进行 Ether 交易时目标地址是个合约地址,那么默认会调用该合约的 fallback 函数。

4.越权的函数调用 

5. 挖矿中心化 以太坊前3大矿商控制着超过50%的算力,存在联合作恶的风险

 

 

常见的几种类型: 

  1. Reentrancy – 重入  gas原因

  2. Access Control – 访问控制

  3. Arithmetic Issues – 算术问题(整数上下溢出)

  4. Unchecked Return Values For Low Level Calls – 未严格判断不安全函数调用返回值

  5. Denial of Service – 拒绝服务  导致Ether和Gas的大量消耗

  6. Bad Randomness – 可预测的随机处理

  7. Front Running

  8. Time manipulation

  9. Short Address Attack – 短地址攻击

  10. Unknown Unknowns – 其他未知

 

 

 入职的第三天,感觉自己好废。漏洞挖掘没有思路,但是又很喜欢。坚持下去,即便挖不出来,每天的笔记还是要做的。

版权声明:本文为yifi原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/yifi/p/9368741.html