《我学区块链》—— 十八、以太坊安全之 call depth 调用深度限制

其他 2018-09-21 13:14:26 阅读次数: 0

十八、以太坊安全之 call depth（调用深度限制）

调用深度（call depth）被限制为 1024。EVM 中一个智能合约可以通过 message call 调用其它智能合约，被调用的智能合约可以继续通过 message call 再调用其它合约，甚至是再调用回来（recursive）。嵌套调用的深度被限定为 1024。

看下面这段代码：

function sendether() {
    address addr = 0x6c8f2a135f6ed072de4503bd7c4999a1a17f824b;
    addr.send(20 ether);
    //you think the send should return true
    var thesendok = true;
    //do something regarding send returns ok
    ...
}

并且对方的 fallback 函数定义为：

function() {
    //do nothing
}

你认为你的代码肯定是安全的，因为对方已经明确定义了 fallback 方法。但是你错了，攻击者只需要制造出 1023 个嵌套调用，然后再调用 sendether()，就可以让 add.send(20 ether) 失败，而其它执行成功。代码如下：

function hack() {
    var count = 0;
    while (count < 1023) {
        this.hack();
        //this keyword makes it a message call
        count++;
    }
    if (count == 1023) {
        thecallingaddr.call("sendether");
    }
}

所以为了解决深度限制的问题，正确的写法应该是在每次涉及到 call depth 增加的地方都检查调用返回是否正确，如下：

function sendether() {
    address addr = 0x6c8f2a135f6ed072de4503bd7c4999a1a17f824b;
    if (!addr.send(20 ether)) {
        throw;
        //somebody hacks me
    }
    //you think the send should return true
    var thesendok = true;
    //do something regarding send returns ok
    ...
}

以上为调用深度问题的演示，与防治，希望对小伙伴们有用。

猜你喜欢

转载自blog.csdn.net/xuguangyuansh/article/details/81329671

《我学区块链》—— 十八、以太坊安全之 call depth 调用深度限制

《我学区块链》—— 十七、以太坊安全之 recursive 递归调用

《我学区块链》—— 二十八、以太坊安全之遗嘱合约漏洞

《我学区块链》—— 十九、以太坊安全之以太坊浏览器Mist漏洞

《我学区块链》—— 十、以太坊合约安全

《我学区块链》—— 二十、以太坊安全之区块节点漏洞

《我学区块链》—— 十四、以太坊安全之太阳风暴

《我学区块链》—— 十六、以太坊安全之 fallback 函数

《我学区块链》—— 二十一、以太坊安全之日食攻击 1、概念讲解

《我学区块链》—— 十五、以太坊安全之 Solidity 类型漏洞

《我学区块链》—— 二十三、以太坊安全之短地址漏洞

《我学区块链》—— 三十二、以太坊安全之探矿中心化漏洞

《我学区块链》—— 三十一、以太坊安全之可重入漏洞

《我学区块链》—— 三十、以太坊安全之时间戳依赖漏洞

《我学区块链》—— 二十九、以太坊安全之交易顺序依赖漏洞

《我学区块链》—— 二十七、以太坊安全之贪婪合约漏洞

《我学区块链》—— 二十五、以太坊安全之浪子合约漏洞

《我学区块链》—— 二十六、以太坊安全之自杀合约漏洞

《我学区块链》—— 三十四、以太坊智能合约静态安全分析

《我学区块链》—— 二十四、以太坊安全之 Geth 客户端 DoS 漏洞

《我学区块链》—— 二十二、以太坊安全之日食攻击 2、重现日食攻击（暂空、占位）

《学区块链》......三.以太坊基础

《我学区块链》—— 三、以太坊私有网络搭建

《我学区块链》—— 三十三、以太坊开发者资源工具集

《我学区块链》—— 三十六、以太坊批量转账（空投）节省费用

(跟我一起来学区块链（1.6））之区块链技术特性

（跟我一起来学区块链（1.4））之区块链的分类

（跟我一起来学区块链（1.3））之区块链的起源与发展

(跟我一起来学区块链（2.0））之区块链的组成原理

(跟我一起来学区块链（1.7））之区块链的价值

今日推荐

美国拟限制 AI 大模型出口中国和俄罗斯

苹果将与 OpenAI 达成协议，将 ChatGPT 应用于 iPhone

openKylin 社区生态委员会第六次会议圆满召开

阿里云正式发布通义千问 2.5

Python 3.13 发布首个 Beta：实验性自由线程模式和 JIT、改进交互式解释器

Stack Overflow 拿我的代码去训练 AI 大模型，还封了我的账号

Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作

报告：Django 仍然是 74% 开发者的首选

《2024 年一季度互联网投融资运行情况》研究报告

15 年前上了“FFmpeg 耻辱柱”，今天他还得谢谢咱——腾讯QQPlayer一雪前耻？

TIOBE 5 月榜单：Fortran “复活”进入 Top 10

GCC 14.1 发布

周排行

NEFU 117 素数个数的位数

Closest Common Ancestors (Lca,tarjan)

ELK部署

【转载】Hive笔记整理（三）

SQL语句（一）基本表的定义

关于Java web开发中的MySQL的事务语句

MFC创建自定义窗体

如何用一句话激怒程序员？

《逆袭大学》文摘——9.4 基础和应用的平衡中找到大学的节奏

【spring源码分析】@Value注解原理

每日归档

更多

2024-05-11(38)

2024-05-10(38)

2024-05-09(35)

2024-05-08(42)

2024-05-07(14)

2024-05-06(40)

2024-05-05(0)

2024-05-04(7)

2024-05-03(19)

2024-05-02(0)