如何防止固体重新进入？

了解坚固的重新注入

重新输入是固体智能合约中的关键安全漏洞，当功能在完成内部状态变更之前对不受信任的合同进行外部呼叫时，就会发生。这使外部合同可以递归地回到原始功能，可能耗尽资金或破坏合同的逻辑。

2016年臭名昭著的DAO黑客是如何利用重新进入的一个典型例子。攻击者使用恶意的后备功能在合同更新其余额之前反复触发撤离，从而导致数百万的以太币损失。

为了防止此类漏洞，开发人员必须实施最佳实践和设计模式，以确保外部呼叫并确保在任何外部互动之前发生状态变化。

使用检查效应互动模式

防止重新进入的最有效方法之一是遵循检查效应互动模式。此模式可确保在执行任何外部呼叫之前进行所有内部状态更改。

• 检查：验证输入和条件。
• 效果：更新合同的状态变量。
• 互动：致电外部合同或发送以太。

通过遵守此订单，您可以确保即使发生重新输入尝试，内部状态也已被更新，以防止双人支出或未经授权的余额访问。

例如，考虑一个简单的提款功能：

 function withdraw(uint amount) public { require(balances[msg.sender] >= amount); balances[msg.sender] -= amount; (bool success, ) = msg.sender.call{value: amount}(''); require(success);

}

在这种情况下，余额将在外部呼叫之前进行更新，从而使其免受重新输入。

实现Mutex锁

防止重新进入的另一种有效方法是使用MUTEX锁定，这是一种防止执行过程中重新进入的状态变量。

一个简单的示例涉及使用布尔标志来阻止重新进入：

 bool private locked;函数提取（UINT金额）public {






require(!locked); locked = true; require(balances[msg.sender] >= amount); balances[msg.sender] -= amount; (bool success, ) = msg.sender.call{value: amount}(''); require(success); locked = false;
 }

这样可以确保该函数在仍在执行时无法重新输入，从而有效地阻止了递归调用。但是，开发人员在使用静音时必须谨慎，以免产生僵局或意外行为。

使用openzeppelin的重新进入守卫

开发人员无需手动实施Mutex逻辑，而是使用OpenZeppelin提供的重新进入守卫合同，该合同提供了安全且经过测试的解决方案。

使用重新输入守卫：

• 导入合同： import '@openzeppelin/contracts/security/ReentrancyGuard.sol';
• 您的合同中继承它： contract MyContract is ReentrancyGuard
• 将nonReentrant修饰符应用于容易重新进入的功能。

 pragma solidity ^0.8.0;导入'@openzeppelin/contracts/security/recentrancyguard.sol';






合同securewithDrawal是重新进入guart {






mapping(address => uint) public balances; function deposit() external payable { balances[msg.sender] += msg.value; } function withdraw(uint amount) external nonReentrant { require(balances[msg.sender] >= amount, 'Insufficient balance'); balances[msg.sender] -= amount; (bool success, ) = msg.sender.call{value: amount}(''); require(success, 'Transfer failed'); }
 }

这种方法抽象了静音处理的复杂性，并降低了引入错误的风险，使其成为许多开发人员的首选方法。

避免原始呼叫并安全使用转移

在坚固的情况下，使用address.call{value: ...}('')比transfer()或send()更灵活，但它也消除了气体限制，使其容易受到重新进入。

• transfer()和send()仅向前转发2300天气，这不足以进行任何有意义的执行，从而防止重新进入。
• 但是， call()转发所有可用的气体，使攻击者可以在后备或接收功能期间执行复杂的恶意逻辑。

为此缓解：

• 对于简单的以太转移，更喜欢transfer()或send() 。
• 如果需要使用call() ，请确保状态变化发生在呼叫之前发生，并将重新进入警卫队进行。

常见问题解答：常见问题

问：什么是固体攻击是什么？答：当外部合同完成执行之前，外部合同回到呼叫功能时，会发生重新进入攻击，通常会导致未经授权的基金提款或州腐败。

问：我可以在不使用Openzeppelin的重新进入守卫的情况下防止重新进入吗？答：是的，通过手动实现检查效应互动模式或使用静音锁定在执行功能期间的重新输入。

问：在现代固体版本中使用address.transfer（）安全吗？答：虽然transfer()限制气体并防止重新进入，但如果收件人合同用尽了气体，则可能意外失败。对于简单的传输，它仍然比call()更安全。

问：所有外部呼叫的坚固性是否容易被重新进入？答：不是全部，但是对用户控制合同的任何外部呼叫都可以是潜在的向量。当状态变化遵循外部呼叫而不是呼叫本身时，就会出现漏洞。