智能合約安全：3.重入攻擊

2023年7月25日#Web3 #Blockchain #NFT #DeFi #DAO #DApp #区块链 #區塊鏈 #加密货币 #DeGame #链游 #Crypto #比特币 #以太坊 #Ethereum #合约开发279

AI 翻譯

這篇文章透過AI由簡體中文翻譯成繁體中文。查看原文

AI 生成的摘要

重入攻击是指在合约执行某个函数时，攻击者通过不断调用该函数的方式来破坏预期逻辑。为了防止重入攻击，可以在函数执行前设置状态变量来防止重入、避免外部合约调用、使用互斥锁来防止同时调用冲突函数，以及在代币approve后调用transferFrom之前检查approve额度。代码示例中使用了互斥锁和状态变量来防止重入攻击。

什麼是重入攻擊？

當合約正在執行某函數時，攻擊者可以通過各種方式反復調用該函數。由於合約狀態存在依賴，反復調用會破壞預期邏輯。例如合約在轉賬前，減少用戶餘額；在轉賬後，增加接收者餘額。攻擊者在餘額減少時反復調用合約，就可以多次減少餘額。

防止重入攻擊的方法：

在函數執行前設置狀態變量防重入。
避免外部合約調用。可通過介面定義安全的調用方式。
使用互斥鎖 (Mutex) 防止同時調用衝突函數。
避免代幣 approve 後直接調用 transferFrom，應在兩步之間檢查 approve 額度。

代碼示例：

// 使用互斥鎖來防止重入
Mutex mutex; 

function withdraw(uint amount) external {
  require(!mutex.locked());
  mutex.lock();
  
  msg.sender.call.value(amount)();

  mutex.release();
}

// 使用狀態變量來防止重入
uint256 protecting;

function withdraw() external {
  require(protecting == 0);
  protecting = 1;

  msg.sender.transfer(balance[msg.sender]);

  protecting = 0;
}