百度360必应搜狗淘宝本站头条
linux文件压缩linux用户组查看linux磁盘mysql安装linuxlinux多线程
当前位置:网站首页 > 优雅编程 > 正文

Slidity安全之随机数误区(安全的随机数)

sinye56 2024-10-04 11:04 6 浏览 0 评论

Solidity作为编写智能合约的语言,已经被广泛的应用。但同时,开发者和用户也得到了惨痛的教训,智能合约的安全问题层出不穷。因此,我们总结了一些常见的Solidity安全问题。前车之鉴,后车之师,希望后来者能有所警惕。

随机数误区

以太坊区块链上的所有交易都是确定性的状态转换操作。这意味着每笔交易都会改变以太坊生态系统的全球状态,并且它以可计算的方式进行,没有不确定性。笔者表示:Solidity提供的功能和变量可以获得明显难以预测的价值,但它们通常要么比看起来更公开,要么受到矿工的影响。由于这些随机性在一定程度上是可预测的,因此恶意用户通常可以复制它并依赖于其不可预测性来攻击该功能。

代码案例

在该案例中,私人的种子与iteration与和keccak256散列函数组合使用以确定呼叫者是否获胜。即使私人的种子,它必须是通过交易在某个时间点设置,并因此在区块上可见。

PRNG 合约

为了增加熵,一些智能合约使用了被视为私有的种子。一个这样的案例是Slotthereum彩票。

代码如下:

变量指针被声明为私有,这意味着其他合同无法访问其值。在每次游戏之后,1到9之间的中奖号码被分配给该变量,然后block.number在检索阻塞时将其用作当前的偏移量。

虽然私有变量受到保护而不受其他合同的影响,但可以将合同存储的内容置于链外。例如,流行的以太坊客户端web3具有API方法web3.eth.getStorageAt,该方法允许检索指定索引处的存储条目。

鉴于这一事实,从合同存储中提取私有变量指针的值并将其作为漏洞的参数提供是微不足道的:

1.彩票使用外部合约oracle来获取伪随机数,用于确定每轮投注中的投注者中的获胜者。

2.这些号码是未加密的。攻击者可能会观察待处理事务池并等待来自oracle的号码。

3.一旦oracle的交易出现在交易池中,攻击者就会以更高的Gas价格发出赌注。

4.攻击者的交易最后一轮进行,但由于Gas价格较高,实际上是在oracle的交易之前执行,使得攻击者获胜。

观点:

在以太坊区块链中实施安全的PRNG仍然是一项挑战。由于缺乏现成的解决方案,开发人员倾向于使用自己的实现。但是在创建这些实现时,很容易出错,因为区块链的随机性源有限。在设计PRNG时,开发人员应确保首先了解各方的激励,然后才选择合适的方法。同时,区块变量不应该被用来提供随机性,因为它们可以被矿工操纵。

(作者:曲速未来安全区;本文仅代表作者观点,不代表链得得官方立场)

相关推荐

Linux中10大常用命令之sort使用案例

请关注本头条号,每天坚持更新原创干货技术文章。如需学习视频,请在微信搜索公众号“智传网优”直接开始自助视频学习1.前言Linux中的sort命令用于对文本文件的内容进行排序。本教程向您展示了sort...

java开发常用的Linux命令,高频的没你想象的多

Linux的命令非常多,多到有些使用的场景你工作两三年也没有遇到过,工作三四年才能遇到(Linux内核开发,Shell脚本开发,嵌入式开发、、、),但这个不是今天分享的重点,今天分享的重点是Java开...

linux常用命令(收藏版)

linux小白注意啦,给大家分享一点干货,请笑纳!1.关机命令shutdown-hnow关闭系统(1)init0关闭系统(2),0为系统的进程号telinit0关闭系统(3)shutdo...

延续Win10三年需付超3000元!微软彻底封堵:删除绕过Win11系统要求教程、将第三方工具标记为恶意软件

一切都是为了用户能够正规地升级到Windows11。整理|屠敏出品|CSDN(ID:CSDNnews)距离Windows10退役仅剩8个月,微软最近这段时间,终是忍不住接连出手了...

敲完就让你提桶跑路的Linux命令

不谨慎可能就会让你提桶的Linux命令!!!删除文件rm-rf该命令是删除文件或文件夹等最快的方式之一。删除后的内容很难恢复,如果删除系统文件可能会导致系统崩坏。˃rm-rf/#强制删除根...

超级蠕虫,累计感染40万台服务器,让Linux内核服务器感染两年

最近著名安全公司ESET发布安全报告,报告分析了其对一个超级蠕虫Ebury的15年追踪分析。在15年中该病毒持续感染了40万台服务器,曾经在2011年(2009年)攻克了Linux内核维护站点kern...

linux redhat破解密码

适用于RedhatCentosFedora1.开机选择第一个启动项,按e进入编辑模式2.在启动项编辑模式找到linux16开头的文件,按ctrl+e快速定位到该行的行末,输入空格rd.break...

慎用!Linux最危险的10个命令!

Linux是一个强大而灵活的操作系统,它提供了许多功能丰富的命令和工具,让用户可以方便地管理和控制系统。但是,有些命令如果不小心或不知情地使用,可能会造成严重的后果,甚至导致系统崩溃或数据丢失。因此,...

Linux文件和目录删除

今天只讲一个命令,这个命令已经让万千运维人既爱又恨。rm删除文件或者目录基本用法:-i显示删除提示信息-f强制删除文件-r进行目录的递归删除在公司里为了保证数据安全,一般会创建一个alias...

给你的Linux系统穿上“防弹衣”:安全加固全攻略

为什么Linux系统需要安全加固在当今数字化时代,Linux系统以其开源、稳定、高效等特性,在服务器领域占据着举足轻重的地位。无论是大型互联网公司的核心业务,还是中小企业的日常运营,都离不开L...

一天一个Linux命令:文件操作「删」rm

命令:rm-rf文件名(慎用,慎用,慎用)rm(选项)(参数)命令功能:rm-rf是一条UNIX系统下的文件删除命令,作用是无提示地强制递归删除一个目录中的一个或多个文件或目录,如果没有使用...

Linux下通过 rm -f 删除大量文件时报错:Argument list too long

问题现象云服务器ECSLinux下通过rm-f删除大量的小文件时出现类似如下错误信息:-bash:?/bin/rm:?Argument?list?too?long如下图所示:问题原因如?待删...

这10个Linux命令太危险,千万慎用!数据毁灭的瞬间只需一个回车

你好,这里是网络技术联盟站,我是瑞哥。Linux系统,以其开源自由的特性,吸引了无数开发者和科技爱好者。其强大的命令行工具赋予了用户前所未有的控制能力。然而,正如俗话所说,“能力越大,责任越大”。某些...

Linux的10大危险命令,用过的运维都很刑

rm-rf命令该命令可能导致不可恢复的系统崩坏。˃rm-rf/#强制删除根目录下所有东西。˃rm-rf*#强制删除当前目录的所有文件。˃rm-rf.#强制删除当前...

Linux环境变量设置与查看全攻略

Linux环境变量设置与查看全攻略在Linux系统中,环境变量是用于定义系统和用户级设置的一种方法,它可以影响程序的行为和系统的运行方式。了解如何设置和查看环境变量对于Linux用户来说是非常重要的技...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表