百度360必应搜狗淘宝本站头条
linux文件压缩linux用户组查看linux磁盘mysql安装linuxlinux多线程
当前位置:网站首页 > 优雅编程 > 正文

Slidity安全之随机数误区(安全的随机数)

sinye56 2024-10-04 11:04 5 浏览 0 评论

Solidity作为编写智能合约的语言,已经被广泛的应用。但同时,开发者和用户也得到了惨痛的教训,智能合约的安全问题层出不穷。因此,我们总结了一些常见的Solidity安全问题。前车之鉴,后车之师,希望后来者能有所警惕。

随机数误区

以太坊区块链上的所有交易都是确定性的状态转换操作。这意味着每笔交易都会改变以太坊生态系统的全球状态,并且它以可计算的方式进行,没有不确定性。笔者表示:Solidity提供的功能和变量可以获得明显难以预测的价值,但它们通常要么比看起来更公开,要么受到矿工的影响。由于这些随机性在一定程度上是可预测的,因此恶意用户通常可以复制它并依赖于其不可预测性来攻击该功能。

代码案例

在该案例中,私人的种子与iteration与和keccak256散列函数组合使用以确定呼叫者是否获胜。即使私人的种子,它必须是通过交易在某个时间点设置,并因此在区块上可见。

PRNG 合约

为了增加熵,一些智能合约使用了被视为私有的种子。一个这样的案例是Slotthereum彩票。

代码如下:

变量指针被声明为私有,这意味着其他合同无法访问其值。在每次游戏之后,1到9之间的中奖号码被分配给该变量,然后block.number在检索阻塞时将其用作当前的偏移量。

虽然私有变量受到保护而不受其他合同的影响,但可以将合同存储的内容置于链外。例如,流行的以太坊客户端web3具有API方法web3.eth.getStorageAt,该方法允许检索指定索引处的存储条目。

鉴于这一事实,从合同存储中提取私有变量指针的值并将其作为漏洞的参数提供是微不足道的:

1.彩票使用外部合约oracle来获取伪随机数,用于确定每轮投注中的投注者中的获胜者。

2.这些号码是未加密的。攻击者可能会观察待处理事务池并等待来自oracle的号码。

3.一旦oracle的交易出现在交易池中,攻击者就会以更高的Gas价格发出赌注。

4.攻击者的交易最后一轮进行,但由于Gas价格较高,实际上是在oracle的交易之前执行,使得攻击者获胜。

观点:

在以太坊区块链中实施安全的PRNG仍然是一项挑战。由于缺乏现成的解决方案,开发人员倾向于使用自己的实现。但是在创建这些实现时,很容易出错,因为区块链的随机性源有限。在设计PRNG时,开发人员应确保首先了解各方的激励,然后才选择合适的方法。同时,区块变量不应该被用来提供随机性,因为它们可以被矿工操纵。

(作者:曲速未来安全区;本文仅代表作者观点,不代表链得得官方立场)

相关推荐

linux安装FTP

1、在nkftp目录下安装ftp,进入到nkftp里面[root@localhostbin]#cd/data/nkftp执行安装命令:[root@localhostnkftp]#rpm-i...

LINUX下搭建FTP服务器

FTP服务器介绍FTP是FileTransferProtocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(App...

Linux下如何进行FTP设置

目录:一、Redhat/CentOS安装vsftp软件二、Ubuntu/Debian安装vsftp软件一、Redhat/CentOS安装vsftp软件1.更新yum源yumupdate-y2.安...

推荐使用集串口 SSH远程登录和FTP传输三合一工具MobaXterm

来源:百问网作者:韦东山本文字数:1216,阅读时长:4分钟在以前的资料里,串口和SSH远程登使用SecureCRT,window与ubuntu数据传输使用filezilla,窗口切换来切换去,麻烦也...

如何搭建FTP服务器(Linux系统)

上次说了Windows操作系统下搭建的FTP服务器,那有朋友问我,说买的XX轻量应用服务器都是属于Linux的操作系统,我该如何为搭建FTP服务器呢?...

Linux 命令 ncftp(文件传输)——想玩转linux就请一直看下去

我是IT悟道,点击右上方“关注”,每天分享IT、科技、数码方面的干货。Linuxncftp命令...

如何用 ftp 实现一键上传

简介ftp是Internet标准文件传输协议的用户界面,它允许用户与远程网络站点之间传输文件...

Linux安装ftp

1安装vsftpd组件安装完后,有/etc/vsftpd/vsftpd.conf文件,是vsftp的配置文件。[root@bogon~]#yum-yinstallvsftpd2添加一个...

一天一点点:linux - ftp命令

linuxftp命令设置文件系统相关功能。FTP是ARPANet的标准文件传输协议,该网络就是现今Internet的前身。语法ftp[-dignv][主机名称或IP地址]参数:-d详细显示指令执...

Centos 7 搭建FTP

目录安装软件以及启动服务添加防火墙规则关闭selinuxftp配置常用常用参数详解特殊参数配置文件没有的参数也可以添加到配置中1.安装软件以及启动服务yuminstall-yvsftpdsys...

【Linux】Linux中ftp命令,没有你想的那么简单

本文介绍了Linux中FTP命令的基本用法,包括连接与登录远程服务器,以及解析了FTP协议中五个最常用的操作命令的使用和解析过程。同时,提供了一个包含常用FTP操作命令的表格,供读者参考。通过熟练掌握...

linux 命令行操作ftp

以下是linuxftp命令参数的详解。FTP>!从ftp子系统退出到外壳?FTP>?显示ftp命令说明??和help相同?格式:?[command]说明:[com...

多学习才能多赚钱之:linux如何使用ftp

linux如何使用ftp步骤1:建立FTP连接想要连接FTP服务器,在命令上中先输入ftp然后空格跟上FTP服务器的域名'domain.com'或者IP地址例如:ftpdom...

linux常用网络操作方法:ftp命令使用方法

常用网络操作方法Linux提供了一组强有力的网络命令来为用户服务,这些工具能够帮助用户登录到远程计算机上、传输文件和执行远程命令等。本节介绍下列几个常用的有关网络操作的命令:ftp传输文件tel...

Linux 5.15有望合并Memory Folios方案 内核构建速度可提升7%

甲骨文公司的长期内核开发人员MatthewWilcox已经研究了“内存对开区”概念相当长的一段时间,这可以改善Linux的内存管理,使其具有更大的效率。例如,使用内存对开的基准测试表明,内核的构建速...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表