科普 | 智能合約安全審計入門篇 —— 自毀函數_AME

By：小白@慢霧安全團隊

背景概述

上次我們了解了什么是溢出漏洞和如何預防和發現它。這次我們要了解的是solidity中自帶的函數——?selfdestruct自毀函數。

前置知識

我們先來了解solidity中能夠轉賬的操作都有哪些：

徐明星新書《趣說金融史》正式發布 科普金融發展之道:金色財經現場報道，9月23日，歐科云鏈創始人徐明星攜手著名財經作家李霽月、行業觀察者顧澤輝力作《趣說金融史》一書，跨越5000年金融歷史，重讀金錢故事，并預測新的金融時代。該書由中信出版社出版，將于近期正式發售。據了解，本書可以更好地呈現金融的起源與發展，幫助人們理解貨幣、金融與未來經濟。作為區塊鏈行業領軍企業——歐科云鏈的創始人，徐明星深知技術探索對經濟社會的重要推動作用，他曾先后出版過《圖說區塊鏈》、《區塊鏈：重塑經濟與世界》、《通證經濟》、《鏈與未來》等行業權威著作，解讀區塊鏈等新型技術的推動下，金融與社會的升級之道，對經濟社會發展做出了重大貢獻。其中，《區塊鏈：重塑經濟與世界》曾作為新中國70周年重點推薦圖書之一被相關書店推薦。[2021/9/23 17:00:57]

1

TRON數字錢包科普資料《波場錢包的現在過去與未來》已上線:據最新消息顯示，由TokenPocket聯合波場TRON官方，以及 TokenPocket 社區志愿者共同撰寫的《波場錢包的現在過去與未來》已正式上線。《波場錢包的現在過去與未來》又稱為波場錢包小白書，詳細介紹了當前TRON錢包與TRON生態密切結合的實例，是目前市面上最為詳細的TRON數字錢包科普資料。波場錢包作為波場公鏈生態中極為重要的入口，是波場生態的重要構成要素。波場錢包從一開始只提供權限管理、轉賬收款、節點投票等基礎功能，到如今不僅可以為用戶提供法幣交易、閃兌和去中心化交易所等方便快捷的交易服務，還能讓用戶直接在錢包上體驗波場上DApp，挖礦、DeFi、Staking等資產增值服務。詳情見原文鏈接。[2020/8/20]

}functionclaimReward()public{require(msg

動態 | 區塊鏈技術入選科普雜志《科學美國人》2019十大突破性技術榜單:據新浪網今日新聞報道，美國科普雜志《科學美國人》公布 2019 十大突破性技術榜單。區塊鏈技術因在保障食品安全中的作用而上榜。 入選榜單具體原因：區塊鏈技術的發展應用將顯著改善食品污染源數據追蹤的困境。利用區塊鏈云端系統，食品制造商可以依次在計算機儲存各類過程的信息。[2019/9/29]

}漏洞分析

EtherGame合約實現的功能是一個游戲，我們這里可以稱它為“幸運七”。玩家每次向EtherGame合約中打入一個以太，第七個成功打入以太的玩家將成為winner。winner可以提取合約中的7個以太。

玩家每次玩游戲時都會調用EtherGame

functionattack()publicpayable{addresspayableaddr=payable(address(etherGame));selfdestruct(addr);}這里我們還是引用三個角色來講解攻擊合約的攻擊過程

玩家一：Alice

玩家二：Bob

攻擊者：Eve

1.開發者部署EtherGame合約；

2.玩家Alice決定玩游戲，她這輩子玩游戲從來沒贏過，她覺得這個游戲可以讓她體驗一次當winner的快感，所以她決定連續調用EtherGame

}functionclaimReward()public{require(msg

}作為審計者

作為審計者我們需要結合真實的業務邏輯來查看address(this).balance的使用是否會影響合約的正常邏輯，如果會影響那我們就可以初步認為這個合約存在被攻擊者強制打入非預期的資金從而影響正常業務邏輯的可能。在審計過程中還需要結合實際的代碼邏輯來進行分析。

Tags：區塊鏈AMEGAMETHER鉑鏈幣區塊鏈下載Era Name ServiceGAMINGSHIBABitether

XRP