ERG:科普 | 智能合約安全審計入門篇 —— 自毀函數_ETHE

By：小白@慢霧安全團隊

背景概述

上次我們了解了什么是溢出漏洞和如何預防和發現它。這次我們要了解的是solidity中自帶的函數——?selfdestruct自毀函數。

前置知識

我們先來了解solidity中能夠轉賬的操作都有哪些：

民盟中央建議加速元宇宙科普和立法:3月4日消息，民盟中央已起草了《關于“元宇宙”技術發展的提案》，并將提交全國政協十三屆五次會議。在提案中，民盟中央建議，在科普層面需加速知識傳播，法律層面則需加快立法步伐。民盟中央擬提交的提案指出，目前，在新興網絡層面，相關政策法規相對缺失。“元宇宙”在未來將會帶動形成全新的網絡形態，當遇到突發輿情，全虛擬的環境、場景將更難進行源頭追蹤、問題疏導。因此建議應盡早加快立法研究，盡快形成與技術、市場發展相適應的治理模式和法律基礎，全面提升我國社會治理的水平。建議組織相關部門，針對“元宇宙”相關需求、風險進行立法研究，并盡快發布。此前消息，民進中央擬向全國政協十三屆五次會議提交《關于積極穩妥推進元宇宙技術和產業發展的提案》。建議推進元宇宙技術產業發展，建立相關監管治理體系。（華夏時報）[2022/3/4 13:37:12]

1

IMF今日發布的加密貨幣科普視頻實為兩年前舊聞，且存在諸多疏漏:國際貨幣基金組織IMF今日在推特上發布了一條關于加密貨幣的科普視頻，這段時長兩分鐘的視頻最初發布于2018年6月。該視頻稱加密貨幣是“貨幣進化的下一步”，但沒有特別提到DLT、區塊鏈，甚至是代幣名稱等術語。BTC、XRP和ETH只出現在說明加密交易的圖形中。盡管這段視頻到目前為止已經獲得了超過13.7萬的點擊量和2900個贊，但來自加密社區的許多反應都是批評的，他們指出了信息中的漏洞和似乎具有誤導性的措辭。

Reddit用戶nanooverbtc稱：“他們犯了很多錯誤，比如把私鑰稱為密碼。”該視頻也沒有討論挖礦或加密貨幣供應。Kraken策略師Pierre Rochard等知名人士表示：“可證明的稀缺性是比特幣有趣的原因，你忘了提這一點。”（Cointelegraph）[2020/8/24]

}functionclaimReward()public{require(msg

聲音 | 浪潮集團云南分公司總經理：云南區塊鏈產業發展需從“科普”到“專精”不斷深化:據昆明日報消息，浪潮集團云南分公司總經理鄭昕表示，云南區塊鏈產業發展需從“科普”到“專精”不斷深化。下一步，浪潮將繼續加大云南農業產業高質量發展體系建設力度，重點以普洱茶等云南優勢產業為切入點，打造云南“綠色、有機農產品高地”的品牌形象，并在此基礎上，開展基于區塊鏈的供應鏈金融服務，解決中小企業貸款難、貸款貴問題。[2019/11/11]

}漏洞分析

EtherGame合約實現的功能是一個游戲，我們這里可以稱它為“幸運七”。玩家每次向EtherGame合約中打入一個以太，第七個成功打入以太的玩家將成為winner。winner可以提取合約中的7個以太。

玩家每次玩游戲時都會調用EtherGame

functionattack()publicpayable{addresspayableaddr=payable(address(etherGame));selfdestruct(addr);}這里我們還是引用三個角色來講解攻擊合約的攻擊過程

玩家一：Alice

玩家二：Bob

攻擊者：Eve

1.開發者部署EtherGame合約；

2.玩家Alice決定玩游戲，她這輩子玩游戲從來沒贏過，她覺得這個游戲可以讓她體驗一次當winner的快感，所以她決定連續調用EtherGame

}functionclaimReward()public{require(msg

}作為審計者

作為審計者我們需要結合真實的業務邏輯來查看address(this).balance的使用是否會影響合約的正常邏輯，如果會影響那我們就可以初步認為這個合約存在被攻擊者強制打入非預期的資金從而影響正常業務邏輯的可能。在審計過程中還需要結合實際的代碼邏輯來進行分析。

Tags：ETHETHE元宇宙ERGunshETHiEthereum元宇宙官方網站注冊ERG價格

AVAX