- 话题
36k 热度
48k 热度
13k 热度
2k 热度
2k 热度
- 置顶
- Gate 链上赚币:ETH 挖矿限时高收益!
✅ 年化收益近 5% + 额外奖励单人额度 1000 ETH
💎 最低 0.00000001 ETH 起投,无赎回期,随存随取!
立即上车,稳赚链上收益:https://www.gate.com/staking/ETH - Gate 合约开仓激励计划火热上线!零门槛瓜分 50,000 ERA
开仓即有奖,交易越多奖励越多!
新用户享 20% 加成!
立即参与:https://www.gate.com/campaigns/1692?pid=X&ch=NGhnNGTf
活动详情:https://www.gate.com/announcements/article/46429
#Gate # #合约交易 # #ERA# - 👀 家人们,最近你们都攒了多少 Alpha 积分啦?
空投领到了没?没抢到也别急,广场给你整点额外福利!
🎁 晒出你的 Alpha 收益,咱们就送你$200U代币盲盒奖励!
🥇 积分最高晒图用户 1 名 → $100 代币盲盒
✨ 积分榜前五优质分享者 5 名 → 各得 $20 代币盲盒
📍【怎么玩】
1️⃣ 带上话题 #晒出我的Alpha积分收益# 发广场贴
2️⃣ 晒 Alpha 积分截图 + 一句话总结:“我靠 Gate Alpha 赚了 ____,真的香!”
👉 还可以分享你的攒分技巧、兑换经验、积分玩法,越干货越容易中奖!
📆【活动时间】
8月4日 18:00 - 8月10日 24:00 (UTC+8) - 🎉 #CandyDrop合约挑战# 正式开启!参与即可瓜分 6 BTC 豪华奖池!
📢 在 Gate 广场带话题发布你的合约体验
🎁 优质贴文用户瓜分$500 合约体验金券,20位名额等你上榜!
📅 活动时间:2025 年 8 月 1 日 15:00 - 8 月 15 日 19:00 (UTC+8)
👉 活动链接:https://www.gate.com/candy-drop/detail/BTC-98
敢合约,敢盈利
深度剖析智能合约中的DoS攻击漏洞及防范策略
智能合约中的拒绝服务攻击分析
拒绝服务攻击(DoS)可能导致智能合约在一段时间内甚至永久无法正常使用。主要原因包括:
合约逻辑中的缺陷,如某些公开函数的计算复杂度过高,导致Gas消耗超出限制。
跨合约调用时对外部合约执行状态的依赖,外部合约执行不可靠可能阻塞本合约的正常运行。
人为因素,如合约所有者丢失私钥导致某些特权函数无法调用。
下面通过具体例子分析智能合约中的DoS攻击漏洞。
1. 循环遍历可被外部修改的大型数据结构
以下是一个用于给注册用户"分红"的简单合约:
rust #[near_bindgen] #[derive(BorshDeserialize, BorshSerialize)] pub struct Contract { pub registered: Vec, pub accounts: UnorderedMap<accountid, balance="">, }
pub fn register_account(&mut self) { if self.accounts.insert(&env::predecessor_account_id(), &0).is_some() { env::panic('The account is already registered'.to_string().as_bytes()); }else{ self.registered.push(env::predecessor_account_id()); } log!('Registered account{}',env::predecessor_account_id()); }
pub fn distribute_token(&mut self, amount: u128) { assert_eq!(env::predecessor_account_id(),DISTRIBUTOR,'ERR_NOT_ALLOWED'); for cur_account in self.registered.iter(){ let balance = self.accounts.get(&cur_account).expect('ERR_GET'); self.accounts.insert(&cur_account,&balance.checked_add(amount).expect('ERR_ADD')); log!('Try distribute to account{}',&cur_account); ext_ft_token::ft_transfer( cur_account.clone(), amount, &FTTOKEN, 0, GAS_FOR_SINGLE_CALL ); } }
该合约的问题在于self.registered数组大小没有限制,可被恶意用户操控使其过大,导致distribute_token函数执行时Gas消耗超出限制。
推荐解决方案:
2. 跨合约状态依赖导致合约阻塞
考虑一个"竞价"合约:
rust #[near_bindgen] #[derive(BorshDeserialize, BorshSerialize)] pub struct Contract { pub registered: Vec, pub bid_price: UnorderedMap<accountid,balance>, pub current_leader: AccountId, pub highest_bid: u128, pub refund: bool }
pub fn bid(&mut self, sender_id: AccountId, amount: u128) -> PromiseOrValue { assert!(amount > self.highest_bid); if self.current_leader == DEFAULT_ACCOUNT { self.current_leader = sender_id; self.highest_bid = amount; } else { ext_ft_token::account_exist( self.current_leader.clone(), &FTTOKEN, 0, env::prepaid_gas() - GAS_FOR_SINGLE_CALL * 4, ).then(ext_self::account_resolve( sender_id, amount, &env::current_account_id(), 0, GAS_FOR_SINGLE_CALL * 3, )); } log!( 'current_leader: {} highest_bid: {}', self.current_leader, self.highest_bid ); PromiseOrValue::Value(0) }
#[private] pub fn account_resolve(&mut self,sender_id: AccountId,amount: u128) { match env::promise_result(0) { PromiseResult::NotReady => unreachable!(), PromiseResult::Successful(_) => { ext_ft_token::ft_transfer( self.current_leader.clone(), self.highest_bid, &FTTOKEN, 0, GAS_FOR_SINGLE_CALL * 2, ); self.current_leader = sender_id; self.highest_bid = amount; } PromiseResult::Failed => { ext_ft_token::ft_transfer( sender_id.clone(), amount, &FTTOKEN, 0, GAS_FOR_SINGLE_CALL * 2, ); log!('Return Back Now'); } }; }
该合约的问题在于,如果当前出价最高用户的账户在外部代币合约中被注销,新的更高出价将无法退回前者代币,导致竞拍过程阻塞。
解决方法:
考虑外部合约调用可能失败的情况,实现合理的错误处理。例如将无法退回的代币暂存在合约中,后续允许用户自行提取。
3. 合约所有者私钥丢失
智能合约中往往存在只有所有者可执行的特权函数。如果所有者私钥丢失,这些函数将无法调用,可能导致合约无法正常运行。
解决方法: