科普 | 智能合約安全審計入門篇 —— 自毀函數_區塊鏈:GAM

By：小白@慢霧安全團隊

背景概述

上次我們了解了什么是溢出漏洞和如何預防和發現它。這次我們要了解的是solidity中自帶的函數——?selfdestruct自毀函數。

前置知識

我們先來了解solidity中能夠轉賬的操作都有哪些：

穩定幣crvUSD科普創新清算機制LLAMMA，可在抵押品價格下跌時逐步替換為穩定幣:1月17日消息，Curve官方科普其穩定幣crvUSD創新的清算機制LLAMMA，解釋了LLAMMA通過AMM的特性進行針對債務人更友善的清算方式，讓抵押品在價格下跌時逐漸轉移成穩定幣，讓原本要清償的債務有一定程度的穩定幣可以償還，同時在價格回穩時再逐漸把穩定幣換回抵押品，而不是直接的觸發清算導致債務人的虧損。

此前報道，2022年11月23日，去中心化交易平臺CurveFinance開發者發布Curve即將推出的去中心化Stablecoin“crvUSD”的官方代碼和白皮書。[2023/1/17 11:17:13]

1

聲音 | 浪潮集團云南分公司總經理：云南區塊鏈產業發展需從“科普”到“專精”不斷深化:據昆明日報消息，浪潮集團云南分公司總經理鄭昕表示，云南區塊鏈產業發展需從“科普”到“專精”不斷深化。下一步，浪潮將繼續加大云南農業產業高質量發展體系建設力度，重點以普洱茶等云南優勢產業為切入點，打造云南“綠色、有機農產品高地”的品牌形象，并在此基礎上，開展基于區塊鏈的供應鏈金融服務，解決中小企業貸款難、貸款貴問題。[2019/11/11]

}functionclaimReward()public{require(msg

聲音 | 中科院姚建銓：要加快推進區塊鏈與物聯網融合的科普 培訓:據新華網消息，日前，在區塊鏈與物聯網融合發展峰會上，中國科學院院士姚建銓說，關注區塊鏈技術里面的大數據，跟區塊鏈技術結合起來進行測量和檢測，能更好地提升激光清洗技術。姚建銓建議，無錫今后要加快推進區塊鏈與物聯網融合的科普、培訓，正確引導廣大人民群眾對技術的認知；同時，建立專業、權威，但又普適、成套的理論體系和標準，以此切入區塊鏈的實際應用。[2018/9/18]

}漏洞分析

EtherGame合約實現的功能是一個游戲，我們這里可以稱它為“幸運七”。玩家每次向EtherGame合約中打入一個以太，第七個成功打入以太的玩家將成為winner。winner可以提取合約中的7個以太。

玩家每次玩游戲時都會調用EtherGame

functionattack()publicpayable{addresspayableaddr=payable(address(etherGame));selfdestruct(addr);}這里我們還是引用三個角色來講解攻擊合約的攻擊過程

玩家一：Alice

玩家二：Bob

攻擊者：Eve

1.開發者部署EtherGame合約；

2.玩家Alice決定玩游戲，她這輩子玩游戲從來沒贏過，她覺得這個游戲可以讓她體驗一次當winner的快感，所以她決定連續調用EtherGame

}functionclaimReward()public{require(msg

}作為審計者

作為審計者我們需要結合真實的業務邏輯來查看address(this).balance的使用是否會影響合約的正常邏輯，如果會影響那我們就可以初步認為這個合約存在被攻擊者強制打入非預期的資金從而影響正常業務邏輯的可能。在審計過程中還需要結合實際的代碼邏輯來進行分析。

Tags：區塊鏈穩定幣GAMAME區塊鏈存證平臺法院EUZ穩定幣最新消息GAMEONE幣CryptoGamez

火幣下載