付费视频,请购买课程( ¥2,000.00 )后再观看
以太坊智能合约安全:熟悉常见漏洞及攻击手法
49次播放
2025-08-30
视频主要讲解以太坊中智能合约的常见安全漏洞、攻击手段及防御策略,涉及重入攻击、DoS攻击、签名滥用等典型案例分析。通过代码演示和理论讲解,强调了区块链开发中安全审计与风险防范的重要性。
1、安全话题介绍
智能合约开发中安全性至关重要,每年因安全问题导致数十亿美金损失,例如今年3月因多签钱包前端被攻击损失15亿美金。 Web3中资金被盗或私钥丢失后难以回滚或找回,因此需特别注意安全性。
2、钓鱼攻击案例 分享了一个钓鱼攻击案例,攻击者伪装成知名项目团队,通过高仿网站和软件包试图骗取私钥或签名。 提醒用户提高警惕,避免点击不明链接或安装不明软件,尤其是高仿钱包或网站。
3、常见安全漏洞 列举了常见的安全漏洞类型,包括权限管理不当、DoS攻击、价格操纵、随机数问题、虫洞攻击等。 重点讲解了重入攻击的原理和防范方法,包括先检查再修改最后交互和使用锁机制。 演示了重入攻击的场景和解决方案,通过修改存款金额或使用锁机制防止多次调用。
4、DoS攻击和签名重用 讲解了DoS攻击的原理,即通过线性增长的gas消耗使合约无法正常运行。 介绍了签名重用的风险,即签名可能被抢跑或多次使用,解决方案是在签名中包含接收者信息并限制使用次数。
5、精度损失和溢出问题 指出了整数运算中的精度损失问题,建议放大数据以减少精度损失。 讲解了溢出问题,特别是在无符号整数减法中可能出现的下溢问题。
6、合约账户与EOA账户 讨论了合约账户与EOA账户的区别,指出在构造函数中调用时可能绕过EOA检查的问题。 建议避免依赖EOA账户的判断,因为未来可能所有账户都是合约账户。
7、安全实践和挑战 推荐了一些安全挑战网站和最佳实践,帮助开发者加深对EVM和安全的理解。