使用检查、影响和交互模式（简称CEI:Checks, Effects, and Interactions）、互斥锁、Pull 支付方式以及gas限制都是防止可重入攻击的有效技术。

> * 原文：https://betterprogramming.pub/solidity-smart-contract-security-preventing-reentrancy-attacks-fc729339a3ff
> * 译文出自：[登链翻译计划](https://github.com/lbc-team/Pioneer)
> * 译者：[翻译小组](https://learnblockchain.cn/people/412)
> * 校对：[Tiny 熊](https://learnblockchain.cn/people/15)
> * 本文永久链接：[learnblockchain.cn/article…](https://learnblockchain.cn/article/4162)

# Solidity智能合约安全：防止重入攻击的4种方法

![img](https://img.learnblockchain.cn/pics/20220601182934.jpeg!/scale/40)

Photo by [Shubham Dhage](https://unsplash.com/@theshubhamdhage?utm_source=unsplash&utm_medium=referral&utm_content=creditCopyText) on [Unsplash](https://unsplash.com/@theshubhamdhage?utm_source=unsplash&utm_medium=referral&utm_content=creditCopyText)

重入是一种编程技术，在这种技术中，一个函数(“A”)的执行被一个外部函数调用打断，在外部函数调用的逻辑中，能够递归地调用原函数（“A”）。在某些情况下，重复地重新进入一个函数来执行外部逻辑可能是可取的，不一定是错误。然而，这种技术不建议用于智能合约，因为它将控制流执行释放给不受信任的合约，而器可能用于盗取资金 。因此，在执行对外部合约的调用时，应使用反重入模式和防护措施来防止这种类型的攻击发生。

有三种主要技术来防止重入：

- 使用 检查、影响、交互（CEI）
- 使用 防重入互斥锁
- 使用Pull 支付方式

此外，还有一种技术可能是有效的，但不推荐使用，他是使用 Gas Limit 限制。

## 检查、影响、交互

CEI模式是一种简单而有效的防止重入的方法。检查指的是判断是否符合条件（验证真实性）。影响指的是由交互产生的状态修改。最后，交互指的是函数或合约之间的调用。

下面是一个错误的示范（因为*交互*在*影响*之前）：

```solidity
// contract_A: holds user's funds

function withdraw() external {
  uint userBalance = userBalances[msg.sender];
  
  require(userBalance > 0);
  
  (bool success,) = msg.sender.call{ value: userBalance }("");
  require(success,);
  
  userBalances[msg.sender] = 0;
}
```

这里是攻击者的[receive函数](https://learnblockchain.cn/docs/solidity/contracts.html#index-11)：

```solidity
// contract_B: reentrancy attack

receive() external payable {
  if (address(contract_A).balance >= msg.value) {
    contract_A.withdraw();
  }
}
```

攻击者的receive函数收到提款后，本应该只返回`success`，但却检查`contract_A`是否包含更多的资金。如果是，`contract_B`会再次调用提款函数，递归直到c...

原文：https://betterprogramming.pub/solidity-smart-contract-security-preventing-reentrancy-attacks-fc729339a3ff

译文出自：登链翻译计划

译者：翻译小组

校对：Tiny 熊

本文永久链接：learnblockchain.cn/article…

Solidity智能合约安全：防止重入攻击的4种方法

Photo by Shubham Dhage on Unsplash

重入是一种编程技术，在这种技术中，一个函数(“A”)的执行被一个外部函数调用打断，在外部函数调用的逻辑中，能够递归地调用原函数（“A”）。在某些情况下，重复地重新进入一个函数来执行外部逻辑可能是可取的，不一定是错误。然而，这种技术不建议用于智能合约，因为它将控制流执行释放给不受信任的合约，而器可能用于盗取资金。因此，在执行对外部合约的调用时，应使用反重入模式和防护措施来防止这种类型的攻击发生。

有三种主要技术来防止重入：

使用检查、影响、交互（CEI）
使用防重入互斥锁
使用Pull 支付方式

此外，还有一种技术可能是有效的，但不推荐使用，他是使用 Gas Limit 限制。

检查、影响、交互

下面是一个错误的示范（因为交互在影响之前）：

// contract_A: holds user's funds

function withdraw() external {
  uint userBalance = userBalances[msg.sender];

  require(userBalance > 0);

  (bool success,) = msg.sender.call{ value: userBalance }("");
  require(success,);

  userBalances[msg.sender] = 0;
}

这里是攻击者的receive函数：

// contract_B: reentrancy attack

receive() external payable {
  if (address(contract_A).balance >= msg.value) {
    contract_A.withdraw();
  }
}

攻击者的receive函数收到提款后，本应该只返回success，但却检查contract_A是否包含更多的资金。如果是，contract_B会再次调用提款函数，递归直到c...

剩余50%的内容订阅专栏后可查看

全面掌握Solidity智能合约开发

Solidity智能合约安全：防止重入攻击的4种方法

Solidity智能合约安全：防止重入攻击的4种方法

检查、影响、交互

0 条评论

文章目录