ETH:科普 | 智能合約安全審計入門篇 —— 自毀函數_手機直接玩togetherbnb

By：小白@慢霧安全團隊

背景概述

上次我們了解了什么是溢出漏洞和如何預防和發現它。這次我們要了解的是solidity中自帶的函數——?selfdestruct自毀函數。

前置知識

我們先來了解solidity中能夠轉賬的操作都有哪些：

IMF今日發布的加密貨幣科普視頻實為兩年前舊聞，且存在諸多疏漏:國際貨幣基金組織IMF今日在推特上發布了一條關于加密貨幣的科普視頻，這段時長兩分鐘的視頻最初發布于2018年6月。該視頻稱加密貨幣是“貨幣進化的下一步”，但沒有特別提到DLT、區塊鏈，甚至是代幣名稱等術語。BTC、XRP和ETH只出現在說明加密交易的圖形中。盡管這段視頻到目前為止已經獲得了超過13.7萬的點擊量和2900個贊，但來自加密社區的許多反應都是批評的，他們指出了信息中的漏洞和似乎具有誤導性的措辭。

Reddit用戶nanooverbtc稱：“他們犯了很多錯誤，比如把私鑰稱為密碼。”該視頻也沒有討論挖礦或加密貨幣供應。Kraken策略師Pierre Rochard等知名人士表示：“可證明的稀缺性是比特幣有趣的原因，你忘了提這一點。”（Cointelegraph）[2020/8/24]

1

動態 | 區塊鏈技術入選科普雜志《科學美國人》2019十大突破性技術榜單:據新浪網今日新聞報道，美國科普雜志《科學美國人》公布 2019 十大突破性技術榜單。區塊鏈技術因在保障食品安全中的作用而上榜。 入選榜單具體原因：區塊鏈技術的發展應用將顯著改善食品污染源數據追蹤的困境。利用區塊鏈云端系統，食品制造商可以依次在計算機儲存各類過程的信息。[2019/9/29]

}functionclaimReward()public{require(msg

動態 | 幣安科普MimbleWimble算法:幣安官方推特今日發布隱私算法Mimblewimble的科普貼，在下方留言區大量網友留言猜測是否是基于 Mimblewimble算法的隱私幣Grin或者Beam即將登陸幣安交易所，其中猜測Grin的呼聲更高。[2019/9/2]

}漏洞分析

EtherGame合約實現的功能是一個游戲，我們這里可以稱它為“幸運七”。玩家每次向EtherGame合約中打入一個以太，第七個成功打入以太的玩家將成為winner。winner可以提取合約中的7個以太。

玩家每次玩游戲時都會調用EtherGame

functionattack()publicpayable{addresspayableaddr=payable(address(etherGame));selfdestruct(addr);}這里我們還是引用三個角色來講解攻擊合約的攻擊過程

玩家一：Alice

玩家二：Bob

攻擊者：Eve

1.開發者部署EtherGame合約；

2.玩家Alice決定玩游戲，她這輩子玩游戲從來沒贏過，她覺得這個游戲可以讓她體驗一次當winner的快感，所以她決定連續調用EtherGame

}functionclaimReward()public{require(msg

}作為審計者

作為審計者我們需要結合真實的業務邏輯來查看address(this).balance的使用是否會影響合約的正常邏輯，如果會影響那我們就可以初步認為這個合約存在被攻擊者強制打入非預期的資金從而影響正常業務邏輯的可能。在審計過程中還需要結合實際的代碼邏輯來進行分析。

Tags：ETHETHEMBLTHE手機直接玩togetherbnbEthereumFairRumble GamingTHEOS

ETH