比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

停止使用 Solidity 的 transfer()_RAN

Author:

Time:1900/1/1 0:00:00

譯文出自:登鏈翻譯計劃

譯者:翻譯小組

校對:Tiny熊

由于EIP1884已經在伊斯坦布爾硬分叉實施,EIP1884增加了SLOAD操作的Gas成本,因此_破壞了一些現有的智能合約_。

這些合約將被破壞,因為它們的fallback函數以前消耗的Gas不到2300,而現在會消耗更多。為什么2300Gas這么重要?這是合約的fallback函數通過Solidity的transfer()或send()方法調用時可使用的Gas量。

剛才是簡化的描述,2300是Gas”津貼“,如果是非零的以太幣量轉賬,則Gas”津貼“明確傳遞給CALL。Solidity的transfer()將Gas參數設置為0,如果以太幣的轉賬量為非零。在加上gas”津貼“后,一共是2300。如果是零以太幣轉賬,Solidity明確地將Gas參數設置為2300,因此在兩種情況下都會是2300Gas。

自推出以來,transfer()通常被安全界推薦,因為它有助于防范重入攻擊。在Gas成本不會改變的假設下,這一指導意見是有意義的,但事實證明這一假設是不正確的。我們現在建議避免使用transfer()和send()。

Gas成本可以改變

EVM支持的每個操作碼都有相關的Gas成本。例如,SLOAD,從存儲中讀取一個字,在EIP1884中gas由200修改為800。

Gas費用不是隨意的。它們旨在反映組成以太坊的節點上每個操作所消耗的基本資源。

Revolut首席執行官呼吁停止俄烏戰爭,并宣布免除向烏克蘭救援工作轉賬的費用:3月2日消息,加密友好型金融科技公司Revolut的俄羅斯首席執行官Nikolay Storonsky發表了一封公開信,譴責了俄烏戰爭并呼吁立即停止戰斗。此外,Revolut本身也采取了行動,幫助客戶通過其應用程序為烏克蘭的救援工作捐款,同時免除向烏克蘭轉賬的費用。Storonsky在信中表示,Revolut的用戶在24小時內向烏克蘭紅十字會的呼吁捐款超過100萬英鎊,并承諾該公司將在未來7天內對每一英鎊、歐元、茲羅提或法郎的捐款進行匹配,最高可達150萬英鎊。

對于Revolut公司超過2150名員工,Storonsky在信中說,在對戰爭發表任何聲明之前,他必須考慮那些在俄羅斯工作的人的福祉。“他們沒有做錯什么;他們只是幫助建立了Revolut,通過他們的辛勤工作支持他們自己的家庭,就像他們在烏克蘭(或倫敦、紐約、悉尼或孟買,或世界上其他有我們員工的地方)的同事一樣。”

目前,Revolut還沒有暫停在俄羅斯的服務。(The Block )[2022/3/2 13:31:56]

來自EIP的動機部分。

操作的價格和資源消耗之間的不平衡有幾個缺點:

可能被用于攻擊,通過用低Gas操作填充區塊,導致區塊處理時間過長。

價格過低的操作碼會歪曲區塊Gas限制,有時區塊完成得很快,但其他Gas使用量相似的區塊完成得很慢。

如果操作定價更均衡,我們可以最大限度地提高塊Gas限制,并有一個更穩定的處理時間。

新澤西州延長BlockFi停止在該州提供計息賬戶的最后期限:BlockFi 首席執行官Zac Prince表示,新澤西州證券局延長了BlockFi停止在該州提供計息賬戶的最后期限,截止日期延長至9月2日。(Decrypt)[2021/7/29 1:21:55]

SLOAD歷來價格偏低,EIP1884糾正了這一問題。

智能合約不能依賴Gas成本

如果Gas成本是可以變化的,那么智能合約就不能依賴于任何特定的Gas成本。

任何使用transfer()或send()的智能合約,都是通過轉發固定數量的Gas來而產生2300Gas成本的硬性依賴。

因此建議停止在代碼中使用transfer()和send(),而改用call()。

contractVulnerable{functionwithdraw(uint256amount)external{//Thisforwards2300gas,whichmaynotbeenoughiftherecipient//isacontractandgascostschange

}contractFixed{functionwithdraw(uint256amount)external{//Thisforwardsallavailablegas

}

除了轉發固定的2300Gas之外,這兩個合約是等價的。

關于重入攻擊怎么辦?

重入攻擊,希望是你看到上述代碼后的第一反應。引入transfer()和send()的全部原因是為了解決TheDAO上臭名昭著的黑客事件的原因。當時的想法是,2300Gas足夠觸發一個日志條目,但不足以進行再重入的調用來修改存儲狀態。

Bitstamp開始停止美國客戶的XRP交易和存款:金色財經報道,Bitstamp發布推文稱,已經開始為美國客戶停止XRP交易和存款。下訂單和存款已被禁用,現在將開始取消未結訂單。其他國家的客戶不受影響。[2021/1/9 15:42:32]

不過請記住,Gas成本是會變化的,這意味著無論如何這都不是解決再重入攻擊的好辦法。19年初,君士坦丁堡分叉被推遲,就是因為gas成本的降低,導致以前重入攻擊安全的代碼不再安全。

如果我們不打算再使用transfer()和send(),我們就必須用更強大的方式來防止重入。幸運的是,這個問題有很好的解決辦法。

檢查-生效-交互模式

消除重入性bug最簡單的方法是使用檢查-生效-交互(checks-effects-interactions)。這是一個典型的重入bug的例子:

contractVulnerable{..

}

如果msg.sender是一個智能合約,它在第6行有機會在第7行發生之前再次調用withdraw()。在那第二次調用中,balanceOf還是原來的金額,所以會再次轉賬。這可以根據需要重復多次,以耗盡智能合約。

檢查-生效-交互模式的想法是確保你所有的交互都發生在最后。上述代碼的典型修復方法如下:

1contractFixed{2...34functionwithdraw()external{5uint256amount=balanceOf;6balanceOf=0;7(boolsuccess,)=msg.sender.call.value(amount)("");8require(success,"Transferfailed.");9}10}

動態 | 德克薩斯州證券向加密投資公司My Crypto Mine 發布停止令:據cointelegraph消息,美國德克薩斯州證券已經發布了針對密碼投資公司My Crypto Mine及其主要負責人Mark Steven Royer的緊急停止令(C&D),該命令已于11月27日發布到監管機構網站上。C&D禁令已經找到證據證實布魯斯·比斯和被解雇的律師塞繆爾·門德斯,通過一個名為“BitQyk”的加密貨幣投資計劃,提供幾乎一文不值的代幣。[2018/11/28]

請注意,在這段代碼中,余額在轉賬之前就被清零了,所以試圖對withdraw()進行重入調用對攻擊者來說沒有收益。

使用重入防護

另一種防止重入的方法是明確地檢查和拒絕這種調用。下面是一個簡單版的重入防護,大家可以看看思路:

1contractGuarded{2...34boollocked=false;56functionwithdraw()external{7require(!locked,"Reentrantcalldetected!");8locked=true;9...10locked=false;11}12}

在這段代碼中,如果嘗試重入調用,第7行的require將拒絕它,因為lock仍然被設置為true。

在OpenZeppelin的ReentrancyGuard合約中可以找到一個更復雜、更節省gas的版本。如果你繼承了ReentrancyGuard,你只需要用nonReentrant來修飾函數,防止重入。

動態 | Usi-Tech停止虛假加密挖礦業務:據bitcoinexchangeguide報道,比特幣龐氏騙局Usi-Tech最終宣布停止其虛假的加密挖礦業務。Usi-Tech的比特幣挖礦計劃從一開始就是可疑的,并引起了美國監管機構的注意。該公司的創始人感到恐慌并最終在2017年4月關閉了所有在美國的業務。然而,他們繼續進行了加密挖礦行為。有趣的是(但不出所料),盡管該公司倒閉,但越來越多的人繼續投資這一龐氏騙局。[2018/10/26]

請注意,這個方法只應該用于保護重入,如果你明確地將其應用于所有正確的函數。由于需要在儲存中保持一個值,它也會增加Gas成本。

Vyper語言有出現這個情況嗎?

Vyper的send()函數與Solidity的transfer()一樣使用硬編碼Gas”津貼“,所以也要避免使用。你可以使用raw_call代替。

Vyper內置了一個@nonreentrant()修飾器,其工作原理類似于OpenZeppelin的ReentrancyGuard。

總結

在Gas成本不變的假設下,推薦transfer()是有道理的。

但Gas成本不是不變的。智能合約應該有力地應對這一事實。

Solidity的transfer()和send()使用一個硬編碼的Gas成本。

這些方法應避免使用。使用.call.value(...)("")代替。

這就存在著重入的風險。一定要使用現有的一種強大的方法來防止重入漏洞。

Vyper的send()也有同樣的問題。

本翻譯由CellNetwork贊助支持。

來源:https://consensys.net/diligence/blog/2019/09/stop-using-soliditys-transfer-now/

參考資料

登鏈翻譯計劃:https://github.com/lbc-team/Pioneer

翻譯小組:https://learnblockchain.cn/people/412

Tiny熊:https://learnblockchain.cn/people/15

EIP1884:https://learnblockchain.cn/docs/eips/eip-1884.html

伊斯坦布爾硬分叉:https://learnblockchain.cn/2019/11/21/istanbul-update

EIP1884:https://learnblockchain.cn/docs/eips/eip-1884.html

破壞了一些現有的智能合約:https://docs.google.com/presentation/d/1IiRYSjwle02zQUmWId06Bss8GrxGyw6nQAiZdCRFEPk/edit

fallback函數:https://learnblockchain.cn/docs/solidity/contracts.html#fallback

Solidity的transfer()或send()方法:https://solidity.readthedocs.io/en/v0.5.11/units-and-global-variables.html#members-of-address-types

動機部分:https://eips.ethereum.org/EIPS/eip-1884#motivation

重入攻擊:https://learnblockchain.cn/docs/solidity/security-considerations.html#re-entance

TheDAO:https://learnblockchain.cn/2019/04/07/dao

君士坦丁堡分叉被推遲:https://blog.ethereum.org/2019/01/15/security-alert-ethereum-constantinople-postponement/

檢查-生效-交互(checks-effects-interactions):https://learnblockchain.cn/docs/solidity/security-considerations.html#checks-effects-interactions

OpenZeppelin的ReentrancyGuard:https://github.com/OpenZeppelin/openzeppelin-contracts/blob/master/contracts/utils/ReentrancyGuard.sol

Vyper的send()函數:https://vyper.readthedocs.io/en/v0.1.0-beta.12/built-in-functions.html#send

raw_call:https://vyper.readthedocs.io/en/v0.1.0-beta.10/built-in-functions.html#raw-call

@nonreentrant()修飾器:https://vyper.readthedocs.io/en/v0.1.0-beta.12/structure-of-a-contract.html#decorators

CellNetwork:https://www.cellnetwork.io/?utm_souce=learnblockchain

免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺:

登鏈社區

現已在非小號資訊平臺發布105篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/9729855.html

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

盤點零知識證明代表性項目:如何影響和塑造區塊鏈生態系統?

Tags:GASTRARANTPSgas幣最新消息TRADE價格Grandcointps幣行情

SHIB最新價格
瑞士私人銀行Bordier推出加密貨幣交易服務_DIE

瑞士私人銀行Bordier&Cie與數字資產銀行Sygnum合作,為客戶提供加密貨幣交易服務.

1900/1/1 0:00:00
【公示】“ELT交易大賽”02.27獲獎名單_BANK

尊敬的LBank用戶: LBank現公示從2月26日17:00至02月27日17:00交易量排名前三的中獎名單,具體情況如下:*?為保證活動公平,LBank嚴禁刷單、對敲等作弊行為.

1900/1/1 0:00:00
CoinBene上線Maps.me Token (MAPS) 的公告_MAPS

尊敬的用戶: CoinBene將上線MAPS/USDT幣幣交易,邀您體驗。MAPS充值時間:2021年3月2日15:00MAPS交易時間:2021年3月2日15:00MAPS提幣時間:2021年.

1900/1/1 0:00:00
DeFi 保險協議 InsurAce 已上線以太坊 Rinkeby 測試網,同步推出獎勵活動_DEF

DeFi保險協議InsurAce已上線以太坊Rinkeby測試網,提供組合保險及質押等服務,同時設置了10,000美元的總獎勵池,用戶可體驗測試版產品并提出改進建議,參與活動即有機會獲得獎勵.

1900/1/1 0:00:00
AEX安銀開放TVK、RAD提幣公告_BETA

親愛的AEX小伙伴: 此前TVK、RAD錢包在部署中,導致不能正常提幣。現已部署完成,自公告發布起,AEX已開放TVK、RAD提幣服務。由此給您帶來不便,AEX深感抱歉.

1900/1/1 0:00:00
【活動】交易送!7900枚CHIK大派送_加密貨幣

尊敬的Hotbit用戶:感恩回饋,Hotbit將于2021年3月1日16:00開啟CHIK交易送好禮活動,活動期間Hotbit平臺的CHIK交易用戶可參與瓜分獎勵.

1900/1/1 0:00:00
ads