CAL:硬核：避免 Solidity 语言和智能合约的不当使用，绕开以太坊的致命弱点_callacar

作者：

时间：

很多以太坊的智能合约控制着有实际价值的数字资产。因此，保证合约没有安全漏洞是十分重要的事情。本文是一篇2017年对以太坊合约攻击调研的文献，来帮助大家避免以太坊智能合约设计中的一些可能导致安全性问题的弱点。在这里，你也可以看到，导致以太坊分叉的著名事件TheDAO攻击，其原理是什么。

这篇文献分两部分，第一部分介绍了一些如果对Solidity语言和智能合约不当使用会导致问题的弱点；第二部分则用一些实例展示了这些弱点可能会导致怎样的问题。

瑞士豪华汽车经销商New Motors现接受比特币支付:金色财经报道，Bitcoin Magazine在社交媒体上称，瑞士豪华汽车经销商New Motors现在接受比特币支付。[2023/3/29 13:33:41]

原文标题：《以太坊合约的安全性弱点，你都绕开了吗？》

不当使用会导致问题的点

合约内函数调用

在使用Solidity编写智能合约时，可以调用其他合约中的函数。假设Alice合约里有一个ping(uint)函数，c是一个Alice合约在以太坊上的地址。如果其他合约想要以参数42调用ping函数，有三种方式：

Lido业务发展主管：质押监管政策影响尚未确定，个人作为美国人或面临无法为Lido工作的风险:2月13日消息，据彭博社报道，对于美国证券交易委员会（SEC）最近对加密质押行业的监管行动影响，流动性质押协议Lido的业务发展主管Jacob Blish表示：“我个人认为，这（美国SEC监管）对链上无许可的流动性质押或质押提供商来说是一个净收益，但这真的取决于最终的解决方案是什么。”不过如果美国监管机构最终得出结论，没有任何美国人可以与任何质押服务进行互动，那么可能会有不同的问题，他个人面临的风险是，其作为美国人可能也无法为Lido工作。Blish表示：“最令人失望的是，作为一个行业，我们一直被要求提高透明度，但作为美国公民，我却得不到透明度以及监管机构的决策过程如何进行。”

Nansen数据显示，Lido Finance在该平台上质押了超过480万枚ETH，价值约72亿美元。

此前金色财经报道，对于与Kraken的和解协议，美SEC主席表示，质押即服务提供商必须注册，并提供信息披露和投资者保护。[2023/2/13 12:03:32]

第一种

政策 | 沙特阿拉伯与阿联酋将在年底前完成国家数字货币试点项目:据Argaam 9月11日消息，沙特阿拉伯货币局（SAMA）负责银行业务的副行长Hisham Al Hogail表示，沙特阿拉伯和阿联酋将在年底前完成跨境银行交易数字货币的试点工作。试点工作可能将重点放在技术方面，同时，法律和经济方面将在稍后阶段进行审查。Al Hogail补充称，“SAMA将把加密货币的使用扩展到阿联酋以外的其他国家。” 今年1月，SAMA和阿联酋央行（UAECB）联合推出了Aber，这是一个旨在促进两国跨境结算的数字货币项目。在PoC（概念证明）框架下，双方的目标都是探索使用区块链和分布式账本技术发行一种共同的数字货币用于跨境汇款。[2019/9/11]

call调用：通过合约地址，合约函数，函数签名和调用参数进行调用。如果被调用函数中有修改合约变量的代码，将修改被调用合约中相应的变量。

第二种

delegatecall与call类似，区别是delegatecall执行时，仅仅使用被调用函数的代码，而代码中如果涉及到合约变量的修改，则是修改调用者合约中的变量。如果被调用的函数中有d

，就没有人有能力将他从王座上赶下去了，因为所有转账的结果都会失败。

以上就是这一期的内容，在接下来的文章中，我们将会介绍文献中提到的其他的Solidity的弱点与可能导致的问题。

参考文献：Atzei,Nicola,MassimoBartoletti,andTizianaCimoli.「Asurveyofattacksonethereumsmartcontracts(sok).」PrinciplesofSecurityandTrust.Springer,Berlin,Heidelberg,2017.164-186.

本文来源于非小号媒体平台：

Conflux中文社区

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3627124.html

以太坊ETH

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场