智能合约安全：2.绕过EOA检查

2023年7月25日#Web3 #Blockchain #NFT #DeFi #DAO #DApp #区块链 #區塊鏈 #加密货币 #DeGame #链游 #Crypto #比特币 #以太坊 #Ethereum #合约开发348

AI 生成的摘要

绕过EOA检查是指攻击者通过伪造msg.sender为一个EOA地址来绕过DeFi合约中对EOA的检查。为了防止这种情况发生，可以通过检查tx.origin来确保调用者为EOA，并使用状态变量记录EOA地址。此外，可以在安全的接口合约中进行EOA检查，并使用经过审计的安全库来增加安全性。代码示例中展示了如何实现这些方法。

什么是绕过 EOA 检查？

许多 DeFi 合约只允许 EOA 进行关键操作。合约地址不可调用。这是通过检查 msg.sender 实现的。但攻击者可以在自己的恶意合约中，使用 EOS 或 delegatecall 等方式伪造 msg.sender 为一个 EOA 地址，就可以绕过检查。

防止绕过 EOA 检查的方法:

不仅检查 msg.sender, 还检查 tx.origin, 以确保调用者为 EOA。
使用状态变量在用户首次调用时记录 EOA, 后续调用强制使用 recordedEOA。
在安全的接口合约中进行 EOA 检查，用户只能通过该接口合约调用。
使用 OpenZeppelin 的 EOAChecker 等审计过的安全库。

代码示例:

// Also check tx.origin
require(msg.sender == tx.origin, "Not EOA");

// Record EOA on first call
address public userEOA; 

function initEOA() external {
  require(userEOA == address(0), "Already initialized");
  userEOA = msg.sender;
}

function criticalFunc() external {
  require(msg.sender == userEOA, "Only EOA can call");
  
  // Function logic
}