智能合約安全：5.selfdestruct

2023年7月25日#Web3 #Blockchain #NFT #DeFi #DAO #DApp #区块链 #區塊鏈 #加密货币 #DeGame #链游 #Crypto #比特币 #以太坊 #Ethereum #合约开发387

AI 翻譯

這篇文章透過AI由簡體中文翻譯成繁體中文。查看原文

AI 生成的摘要

自毁函数selfdestruct是智能合约中一个具有潜在危险的功能，黑客可以利用它进行恶意攻击。本文通过代码实例分析了selfdestruct攻击方式，并介绍了如何通过安全编码来防范这类攻击。攻击者可以通过调用目标合约的selfdestruct函数来破坏合约。另一种攻击方式是通过继承获取对selfdestruct的访问权限。为了解决这个问题，可以对自毁函数加上访问控制，只允许所有者调用，或者将危险函数设为内部函数，避免被恶意合约继承。

自毀函數 selfdestruct 是智能合約一個具有潛在危險性的功能，黑客可以通過多種手段利用它進行惡意攻擊。本文將通過程式碼實例分析 selfdestruct 攻擊方式，以及如何通過安全編碼防範這類攻擊。

攻擊者可以通過調用目標合約的 selfdestruct 函數破壞合約。例如:

contract Target {
  address owner;

  function selfDestruct() public {
    require(msg.sender == owner);  
    selfdestruct(owner);
  }
}

contract Attacker {
  function attack(Target target) public {
    target.selfDestruct();
  }
}

上例中，攻擊者調用公開的 selfDestruct 函數，如果擁有 owner 權限就可以刪除 Target 合約。

另一個場景是攻擊者通過繼承獲取對 selfdestruct 的訪問權限。例如:

contract Base {
  function selfDestruct() internal {
    selfdestruct(msg.sender);
  }
}

// 惡意繼承
contract Attacker is Base {
  function attack() public {
    selfDestruct();
  }
}

解決辦法
對自毀函數加訪問控制，只允許所有者調用
不設置公開可調用的自毀函數，避免被惡意合約繼承
將危險函數設為內部函數 internal