智能合約安全：2. 繞過EOA檢查

2023年7月25日#Web3 #Blockchain #NFT #DeFi #DAO #DApp #区块链 #區塊鏈 #加密货币 #DeGame #链游 #Crypto #比特币 #以太坊 #Ethereum #合约开发344

AI 翻譯

這篇文章透過AI由簡體中文翻譯成繁體中文。查看原文

AI 生成的摘要

绕过EOA检查是指攻击者通过伪造msg.sender为一个EOA地址，绕过DeFi合约中对EOA进行关键操作的限制。为了防止绕过EOA检查，可以同时检查msg.sender和tx.origin，记录用户的EOA地址，并在后续调用中强制使用记录的EOA地址，或者通过安全的接口合约进行EOA检查。使用经过审计的安全库如OpenZeppelin的EOAChecker也可以提高安全性。

什麼是繞過 EOA 檢查？

許多 DeFi 合約只允許 EOA 進行關鍵操作。合約地址不可調用。這是通過檢查 msg.sender 實現的。但攻擊者可以在自己的惡意合約中，使用 EOS 或 delegatecall 等方式偽造 msg.sender 為一個 EOA 地址，就可以繞過檢查。

防止繞過 EOA 檢查的方法：

不僅檢查 msg.sender，還檢查 tx.origin，以確保調用者為 EOA。
使用狀態變量在用戶首次調用時記錄 EOA，後續調用強制使用 recordedEOA。
在安全的介面合約中進行 EOA 檢查，用戶只能通過該介面合約調用。
使用 OpenZeppelin 的 EOAChecker 等審計過的安全庫。

代碼示例：

// 同時檢查tx.origin
require(msg.sender == tx.origin, "非EOA");

// 在第一次調用時記錄EOA
address public userEOA; 

function initEOA() external {
  require(userEOA == address(0), "已初始化");
  userEOA = msg.sender;
}

function criticalFunc() external {
  require(msg.sender == userEOA, "僅限EOA調用");
  
  // 函數邏輯
}