智能合約是一項創新技術,徹底改變了我們進行交易的方式。這些合約是自動執行的,可以編程為在滿足某些條件時執行特定操作。然而,與任何技術一樣,智能合約也不能幸免于漏洞的困擾。
競爭條件和搶跑交易漏洞是智能合約面臨的兩個最常見的問題。當兩個或多個進程嘗試同時訪問和操作相同的數據時,會發生競爭條件。這可能會導致意外結果,并可能被攻擊者利用來竊取資金或造成其他類型的損害。另一方面,當攻擊者能夠在交易執行之前看到交易并可以操縱區塊鏈以發揮其優勢時,就會發生搶跑交易漏洞。
了解這些漏洞對于任何使用智能合約的人來說都是至關重要的。在本文中,我們將全面概述智能合約中的競爭條件和搶跑交易漏洞。我們將探討這些漏洞的工作原理、它們的潛在影響以及可以采取哪些措施來減輕它們的影響。在本文結束時,讀者將更好地了解與智能合約相關的風險以及如何保護自己免受這些漏洞的影響。
背景
近年來,智能合約因其無需中介即可自動執行交易的能力而越來越受歡迎。這些合約是自動執行且不可變的,使其成為供應鏈管理、投票系統和金融交易等用例的理想選擇。
然而,智能合約也不能幸免于漏洞,兩個最常見的漏洞是競爭條件和搶跑交易漏洞。當兩個或多個交易同時執行時,就會發生競爭條件,并且它們的執行順序會影響合約的結果。當礦工或交易者利用價格差異在合法用戶之前執行交易時,就會發生搶跑交易。
BitKeep將支持Ordinals協議和BRC-20代幣:金色財經報道,Bitget 發推稱本月將接入比特幣生態,NFT 交易市場將推出比特幣 NFT 專區,支持 Ordinals 協議 BTC NFT 的展示、鑄造、轉賬、交易;BitKeep 錢包同時將兼容 Taproot 地址格式,為 BRC-20 代幣提供資產展示、轉賬和交易等服務。接入完成后,BitKeep 用戶可以在移動端和插件端使用 BTC Taproot 地址格式,并對 BRC-20 代幣及比特幣 NFT 進行充提管理、轉賬交易等操作。[2023/5/8 14:50:22]
競爭條件和搶跑交易可能會導致財務損失和其他負面后果,因此開發人員必須了解這些漏洞并采取措施減輕它們的影響。在以下部分中,我們將全面概述智能合約中的競爭條件和搶跑交易,包括預防示例和最佳實踐。
智能合約中的競爭條件
競爭條件是智能合約中常見的漏洞。當多個交易嘗試同時修改同一狀態變量時,會發生競爭條件。當這種情況發生時,不清楚哪個交易將首先處理,智能合約的結果變得不可預測。
競爭條件漏洞的一個示例是重入攻擊。在此攻擊中,惡意參與者利用競爭條件在合約函數完成其先前執行之前多次調用該函數。這可能會導致意外行為,例如攻擊者能夠提取比他們有權提取的更多的資金。
MovEX團隊已完成DeepBook的基礎構建,DeepBook已完全集成至Sui框架:4月18日消息, Sui 上去中心化交易所 MovEX 團隊已完成 DeepBook 的基礎構建,DeepBook 無需許可,已完全集成到 Sui 的框架中。DeepBook 文檔也已公開發布。
此前消息,2023 年 3 月份,MovEX 和 Sui 基金會表示將共同構建基于 Sui 的中央限價訂單簿(CLOB)DEX DeepBook,旨在為 Sui 上的所有 DeFi 協議帶來深度流動性,并將與頂級做市商合作,提供更佳的流動性深度,目前也已得到 Mysten Labs 的支持。[2023/4/18 14:11:00]
競爭條件漏洞的另一個示例是時間戳依賴攻擊。在此攻擊中,惡意參與者通過操縱交易的時間戳來利用競爭條件,使其以與預期不同的順序進行處理。這可能會導致意外行為,例如攻擊者能夠在應該首先處理的另一個交易之前執行函數。
為了防止智能合約中的競爭條件,開發人員應使用鎖定機制來確保一次只有一個交易可以修改狀態變量。他們還應該避免使用時間戳或區塊號作為隨機性的來源或在合約邏輯中做出決策。
以太坊Layer2上總鎖倉量為62.14億美元:金色財經報道,L2BEAT數據顯示,截至目前,以太坊Layer2上總鎖倉量為62.14億美元,近7日跌0.87%。其中鎖倉量最高的為擴容方案Arbitrum One,約33.37億美元,占比53.70%,其次是Optimism,鎖倉量18.95億美元,占比30.50%。[2023/2/27 12:30:47]
此外,開發人員應仔細檢查其合約代碼是否存在任何潛在的競爭條件,并徹底測試其合約,以確保它們免受這些類型的攻擊
智能合約中的搶跑交易
搶跑交易是一種攻擊,當惡意行為者在區塊鏈上確認交易之前觀察交易并試圖利用它來為自己謀利時,就會發生這種攻擊。這種類型的攻擊在涉及大量資金的去中心化金融應用程序中尤其普遍。
搶跑交易可以通過多種方式發生。一種常見的方法是通過使用監控內存池的機器人,內存池是等待添加到區塊鏈的未經確認的交易列表。當機器人檢測到它認為會導致有利可圖的交易時,它將嘗試以更高的gas費用執行類似的交易,以確保首先確認。
另一種可以發生搶跑交易的方式是使用基于時間的攻擊。在這種情況下,攻擊者將利用他們對網絡延遲的了解來提交將在受害者交易之前確認的交易。這種類型的攻擊更難執行,但成功后的結果可能是毀滅性的。
Robinhood Q4加密貨幣業務收入環比減少24%至3900萬美元:2月9日消息,美股經紀商Robinhood報告稱,第四季度加密貨幣業務收入環比減少24%至3900萬美元,較第三季度的5100萬美元下降24%。Robinhood指出,在其基于Polygon的Web3錢包的測試版于9月發布后,其Robinhood加密錢包在2022年向超過100萬候補用戶推出。
總體而言,Robinhood第四季度調整后每股虧損19美分,高于分析師普遍預期的每股虧損15美分,營收為3.8億美元,低于分析師預估的3.96億美元。周三盤后交易中,Robinhood的股價上漲約3%至10.80美元。股價今年迄今上漲約30%,但比去年下跌21%。[2023/2/9 11:56:10]
搶跑攻擊在智能合約中可能特別具有破壞性。例如,攻擊者可以在去中心化交易所上提前進行交易,并操縱交易的資產價格,使其對他們有利。或者,攻擊者可以提前運行與智能合約交互的交易,并利用代碼中的漏洞竊取資金。
為了降低搶跑交易攻擊的風險,開發人員可以利用各種技術,例如使用承諾-揭示方案或實行智能合約執行延遲。此外,用戶可以通過使用混合器等隱私增強工具或單純地等待他們的交易得到確認然后再執行其他交易來保護自己。
哈薩克斯坦制定首部關于數字采礦和加密貨幣的行業法案:金色財經報道,在相關立法倡議下,哈薩克斯坦馬吉利斯(議會下院)制定了哈國首部關于數字法領域的行業法案。該法案對哈薩克斯坦境內的數字采礦進行了法律規范。議員指出,數字采礦的合法化以及對加密貨幣生產商缺乏進一步監管,直接導致了哈薩克斯坦境內能源消費行業出現了一定程度的發展失控。議員強調,“灰色”數字礦企在不受監管的情況下對能源的使用,直接導致了國內電力資源的短缺,并嚴重的影響到了國家能源安全。議員同時指出,合法的加密貨幣采礦業被認為是哈薩克斯坦的大型投資行業,能夠提供穩定的稅收并為國內IT產業的發展做出貢獻。
據議員介紹,根據現行立法,哈薩克斯坦禁止流通無擔保數字資產,即加密貨幣。所有涉及加密貨幣的操作,包括初始項目框架內的采礦和加密交換操作,均僅在國際金融中心進行。[2022/9/29 22:39:52]
競爭條件和搶先交易漏洞示例
競爭條件和搶先交易漏洞是智能合約中的常見問題。以下是說明如何利用這些漏洞的一些示例:
競爭條件示例
考慮一個允許用戶相互轉移代幣的智能合約。合約有這么一個的函數,它接受兩個參數:接收者的地址和要轉移的代幣數量。以下是該函數的工作原理:
檢查匯款人是否有足夠的代幣進行轉移從匯款人的余額中減去轉賬金額將轉賬金額添加到收款人的余額中現在,假設兩個用戶,Alice和Bob,想要同時將代幣轉移給對方。Alice調用該函數時,Bob的地址作為接收方,100個代幣作為金額。同時,Bob以Alice的地址作為接收方,以50個代幣作為金額調用該函數。
根據處理這些交易的順序,合約的狀態最終可能會不一致。例如,如果首先處理Alice的交易,她的余額將減少100個代幣,而Bob的余額將增加50個代幣。但是,如果先處理Bob的交易,他的余額將減少50個代幣,而Alice的余額將增加100個代幣。這種不一致是一個競爭條件漏洞。
在這個簡單的合約中,有一個公共計數器變量,可以通過調用“increment”函數來遞增。如果兩個或多個交易嘗試同時增加計數器,則可能會出現競爭條件,并且計數器的最終值可能不是原來的值。
搶跑交易示例
搶跑交易是一種攻擊,惡意用戶觀察區塊鏈上的待處理交易,并試圖利用它們為自己謀取利益。下面是一個示例:
假設Alice想從去中心化交易所購買10ETH。她向交易所提交一筆交易,gas價格為10Gwei。不久之后,Bob在內存池中看到了Alice的交易,并決定也購買10ETH。然而,Bob設定了更高的gas價格20Gwei,希望他的交易能在Alice之前得到處理。
如果Bob的交易在Alice的交易之前處理,他將能夠以比Alice更低的價格購買10ETH。這是因為交易所的價格預言機根據最新交易更新其價格。如果首先處理Alice的交易,價格就會上漲,鮑勃最終將為相同數量的ETH支付更多費用。這是一個搶跑交易漏洞。
這些示例說明了如何在智能合約中利用競爭條件和搶跑交易漏洞。開發人員必須了解這些問題并采取措施緩解這些問題。
在這個合約中,用戶可以通過調用“buy”函數并提供正確數量的以太幣來購買東西。價格是通過調用'setPrice'函數來設置的。如果搶跑者看到價格即將上漲并迅速提交交易以拉高價格,他們可以在其他用戶有機會做出反應之前以舊的價格購買該商品。
防止競爭條件和搶跑交易漏洞
防止智能合約中的競爭條件和搶跑交易漏洞對于確保區塊鏈網絡的安全性和完整性至關重要。以下是一些可以實施的最佳做法,以緩解這些風險:?
使用互斥鎖:互斥鎖可用于通過確保一次只有一個線程可以訪問共享資源來防止競爭條件。這意味著,如果事務已在執行,則嘗試訪問同一資源的后續事務將被暫停,直到第一個事務完成。盡量減少外部調用的使用:外部調用可能會引入搶跑交易漏洞,因為它們允許攻擊者在原始交易完成之前監控區塊鏈網絡并執行交易。為了降低這種風險,開發人員應盡量減少外部調用的使用,并確保它們得到適當的保護。實現延遲機制:延遲機制可用于通過在事務廣播時間和執行時間之間引入延遲來防止搶跑交易漏洞。這可能會使攻擊者更難搶跑交易,因為他們不知道何時執行交易。實施訪問控制:訪問控制可用于防止未經授權訪問智能合約的行為,并降低搶跑交易漏洞的風險。開發人員應確保只有授權用戶才能訪問和執行智能合約上的交易。執行廣泛的測試:應執行廣泛的測試,以識別和解決智能合約中的任何潛在競爭條件或搶跑交易漏洞。這可以包括單元測試、集成測試和壓力測試。
互斥鎖示例——在此合約中,doSomething函數檢查資源當前是否已鎖定,如果已鎖定,則拋出錯誤。如果資源已解鎖,它將鎖定標志設置為true,執行關鍵部分,然后將鎖定標志設置返回false。
通過實施這些最佳實踐,開發人員可以幫助防止智能合約中的競爭條件和搶跑交易漏洞,并確保區塊鏈網絡的安全性和完整性。
結論
智能合約徹底改變了我們進行交易的方式,尤其是在加密貨幣領域。但是,它們有自己的一組漏洞,例如競爭條件和搶跑交易。攻擊者可以利用這些漏洞來獲得不公平的優勢,甚至從毫無戒心的用戶那里竊取資金。
開發人員必須了解這些漏洞,并在開發過程中采取措施緩解這些漏洞。這包括在將智能合約部署到區塊鏈之前對其進行徹底的測試和審計。
此外,用戶在與智能合約交互時應謹慎行事,并且僅使用經過信譽良好的第三方安全公司徹底審查和審計的智能合約。
隨著區塊鏈和加密貨幣世界的不斷發展,所有利益相關者都必須保持警惕并積極主動地解決這些安全問題。通過共同努力,我們可以為所有用戶創建一個更安全、更值得信賴的生態系統。
項目簡況 項目簡述 Base是首個由知名的CEX—coinbase和Optimism合作推出,為了為開發人員提供一個安全、低成本的方式來構建鏈上去中心化應用的以太坊二層網絡.
1900/1/1 0:00:00近日,港股上市公司藍港互動集團宣布重組加密投資與研究機構共識實驗室,在香港正式成立LKVenture,進軍Web3產業和加密貨幣投資市場.
1900/1/1 0:00:00BAYC生態系統被過度稀釋了!"這是很多人不了解的地方 如果你最近幾天一直關注NFTTwitter,你可能多次聽到這樣的說法:"Vessels,Kodas,Mechas.
1900/1/1 0:00:00做空機構興登堡研究公司在周四上午發布的一份“做空報告”中指出?JackDorsey?旗下的支付服務提供商?Block“誤導投資者”,夸大了真實的用戶數量,并低估了其客戶獲取成本.
1900/1/1 0:00:00臨近Web3香港大會,疊加6月份或將公布的香港加密貨幣新政策,市場對于香港概念的項目極度敏感。不過4月9日,行情顯示,有香港概念屬性的EtherPOAPOGNFT系列地板價在兩天里暴跌逾65%,
1900/1/1 0:00:00一直以來,流動性都是DeFi世界中最重要的議題。DeFiSummer源自流動性挖礦,而流動性挖礦的高額激勵也吸引了一大批流動性雇傭兵為協議提供流動性.
1900/1/1 0:00:00