区块链安全研究的总结

因为之前每天工作都有daliy thinking，现在暂时没有条件（Github上的博客由于不可抗力的原因，写不了了，怀念MD），所以每天在博客园笔记记下来。

今天主要看了一下智能合约的安全。

1.相较于传统的漏洞而言，感觉区块链上多了整数溢出的情况特别明显。典型的漏洞是 ：https://www.secpulse.com/archives/72383.html

利用整数的溢出和逻辑上的问题，导致出现上述漏洞。

2.然后感觉WEB上的不是很熟悉，若是WEB上的劫持什么的，就和传统的漏洞没有什么区别。

3.还有就是和回退函数相关的 

     因为回退函数的执行时机为：

     当外部账户或其他合约向该合约地址发送 ether 时；
     当外部账户或其他合约调用了该合约一个不存在的函数时；

如果在进行 Ether 交易时目标地址是个合约地址，那么默认会调用该合约的 fallback 函数。

4.越权的函数调用 

5. 挖矿中心化 以太坊前3大矿商控制着超过50%的算力，存在联合作恶的风险

 

 

常见的几种类型： 

1. Reentrancy - 重入  gas原因

2. Access Control - 访问控制

3. Arithmetic Issues - 算术问题（整数上下溢出）

4. Unchecked Return Values For Low Level Calls - 未严格判断不安全函数调用返回值

5. Denial of Service - 拒绝服务  导致Ether和Gas的大量消耗

6. Bad Randomness - 可预测的随机处理

7. Front Running

8. Time manipulation

9. Short Address Attack - 短地址攻击

10. Unknown Unknowns - 其他未知

 

 

 入职的第三天，感觉自己好废。漏洞挖掘没有思路，但是又很喜欢。坚持下去，即便挖不出来，每天的笔记还是要做的。