-
bitcoin $87959.907984 USD
1.34% -
ethereum $2920.497338 USD
3.04% -
tether $0.999775 USD
0.00% -
xrp $2.237324 USD
8.12% -
bnb $860.243768 USD
0.90% -
solana $138.089498 USD
5.43% -
usd-coin $0.999807 USD
0.01% -
tron $0.272801 USD
-1.53% -
dogecoin $0.150904 USD
2.96% -
cardano $0.421635 USD
1.97% -
hyperliquid $32.152445 USD
2.23% -
bitcoin-cash $533.301069 USD
-1.94% -
chainlink $12.953417 USD
2.68% -
unus-sed-leo $9.535951 USD
0.73% -
zcash $521.483386 USD
-2.87%
什么是智能合同中的重新攻击?
A reentrancy attack exploits recursive function calls in smart contracts to drain funds, as seen in the infamous DAO hack.
2025/07/15 02:50
了解智能合约的基础知识
智能合约是一份自执行的合同,其条款直接写入代码中。它在以太坊等区块链平台上运行,并自动执行没有中介机构的各方之间的协议。这些合同一旦部署后都是不可变的,这意味着代码中存在的任何漏洞都无法改变驱逐后。这种不变性使得确保智能合约在上线之前可以免受所有可能的漏洞的安全至关重要。
这样的利用之一是重新进入攻击,该攻击造成了加密货币生态系统中的重大损失。了解这种漏洞的工作方式需要掌握智能合约如何通过功能调用与外部帐户和其他合同相互作用。
什么是重新进入攻击?
当恶意合同在初始执行完成之前反复调用另一个合同中的脆弱功能时,会发生重新攻击。这种递归行为可以以意想不到的方式流失资金或操纵状态变量。
经典的示例涉及合同处理以太转移。如果功能在更新其内部余额之前将以太发送到外部地址,则恶意合同可以在转移期间重新输入该功能,并反复流失合同的资金。 2016年臭名昭著的DAO骇客导致了6000万美元的以太损失,这是由于重新进入的结果。
重新进入攻击如何在实践中起作用?
为了更好地理解重新进入攻击的机制,请考虑以下简化方案:
- 合同具有
withdraw()功能,允许用户撤回其沉积以太。 - 该函数首先使用
call.value()将以太发送给用户,然后将用户的余额更新为零。 - 恶意合同将自己注册为用户,并将以太存入目标合同。
- 当它调用
withdraw()时,目标合同会启动以太转移。 - 在转移期间,恶意合同的后备功能(会自动触发)再次呼叫
withdraw()。 - 由于余额尚未更新,因此合同认为用户仍然有可用的资金并发送更多的以太。
- 该循环一直持续到合同耗尽或气体用完为止。
此过程利用合同中的操作顺序 - 特别是在更新状态之前发送以太。
重新输入漏洞的类型
重新进入攻击有几种形式,每种攻击都利用合同逻辑的不同方面:
- 单功能重新输入:当单个函数包含外部呼叫和状态更改时,就会发生这种情况。攻击者在更新状态之前在外部呼叫期间触发重新进入。
- 跨功能重新输入:在这里,多个功能共享状态变量。攻击者可以在第一个仍在执行时重新输入第二个功能,从而不一致地操纵共享数据。
- 授权重新输入:此高级变体使用
delegatecall机制在另一个合同中执行代码。如果不仔细处理,这可能会导致意外的重新进入场景。
每种类型都需要仔细的审核和特定的缓解策略,以防止剥削。
如何防止重新进入攻击
防止重新进入攻击涉及在合同设计和利用安全工具方面采用最佳实践:
- 使用检查效应 - 交互模式:在拨打任何外部呼叫之前,请务必更新合同的状态。这样可以确保没有重新进入可以操纵现有的平衡或州。
- 实施重新进入警卫:诸如OpenZeppelin之类的库提供了重新输入后卫修饰符,该修饰符使用MUTEX变量阻止重新进入呼叫。
- 避免复杂的外部呼叫:最大程度地减少与未知或未经信任合同的互动。在必要时,请确保回调是安全的,并且不要触发任意代码。
- 使用推拉付款:而不是将资金推向用户,而是让他们启动提款。这降低了递归排水的风险。
- 进行详尽的审核:使用自动化工具和手动审查来检测代码库中潜在的重新输入矢量。
通过采用这些策略,开发人员可以大大减少成功重新进入攻击的可能性。
真实世界的重新输入示例
几起备受瞩目的事件强调了重新进入攻击的毁灭性影响:
- DAO HACK(2016) :最著名的案件涉及一个分散的自治组织,其智能合同允许递归提款。攻击者利用了这一点,以耗尽数百万美元的乙醚。
- Fusion网络攻击(2021年) :黑客在协议中利用了一个跨功能重新输入错误,导致了1400万美元的损失。
- Warp Finance Hack(2021) :在不同职能上利用了多个重新入侵点,使攻击者能够耗尽近800万美元的资产。
这些示例强调了严格的测试和遵守对确保编码实践的重要性。
常见问题
问:在非埃塞姆区块链中可以重新进入攻击吗?是的,重新输入攻击会影响任何以外部呼叫和可变状态支持智能合约的区块链平台。尽管以太坊已经看到了最突出的案例,但二元智能链,Solana等人也存在类似的漏洞。
问:所有外部电话都危险吗?不,但是应该谨慎对待外部呼叫。在更新临界状态变量之前制造时会出现危险。正确的编码模式和保障措施可以减轻这种风险。
问:如何测试我的重新进入漏洞的合同?您可以使用静态分析工具,例如Slither或Secrefify,执行手动代码审核,并使用Brownie或Hardhat等框架模拟攻击方案。使用重新进入警卫并遵循安全的开发实践也有帮助。
问:Flash贷款攻击与重新进入攻击之间有什么区别?尽管两者都可以利用Defi协议,但Flash贷款攻击依赖于借用大量资本而无需抵押并将其偿还在同一交易中。重新入侵的重点是递归呼吁操纵合同状态的职能。但是,有些攻击结合了两种技术,以增加影响。
免责声明:info@kdj.com
所提供的信息并非交易建议。根据本文提供的信息进行的任何投资,kdj.com不承担任何责任。加密货币具有高波动性,强烈建议您深入研究后,谨慎投资!
如您认为本网站上使用的内容侵犯了您的版权,请立即联系我们(info@kdj.com),我们将及时删除。
- 比特币、eCash 分叉和空投动态:深入探讨加密货币的最新争议
- 2026-05-03 12:55:01
- 2026 年迈阿密共识:Web3、区块链、加密货币、NFT、Metaverse,会议,5 月 5 日 — 华尔街与数字前沿相遇的地方
- 2026-05-02 12:45:01
- 美联储维持利率稳定,地缘政治紧张局势引发比特币价格下跌
- 2026-05-01 06:45:01
- 比特币矿工为电网供电:收购俄亥俄州天然气厂开启数字黄金新时代
- 2026-05-01 00:45:01
- MegaETH的MEGA代币登陆纽约:为实时区块链设定新的性能基准
- 2026-05-01 00:55:01
- Solana 的滑坡:价格预测表明阻力损失和潜在的进一步下跌
- 2026-05-01 06:45:01
相关百科
如何降低加密货币期货的强平价格?
2026-07-01 01:40:20
了解期货交易中的清算机制1. 当交易者的保证金余额低于维持保证金要求时,就会发生强平,触发交易所自动平仓。 2. 强平价格是根据入场价格、杠杆水平、仓位规模和资金费率调整来计算的——每个变量都直接影响触发点的落点。 3. 交易所采用不同的模型——有的采用标记价格,有的采用指数价格——来确定实时估值;...
当期货头寸遭遇强平时会发生什么?
2026-07-02 17:40:00
加密货币期货头寸清算机制1、当交易者的保证金余额低于维持保证金水平时,交易所启动自动平仓,防止负资产。 2. 强平引擎根据杠杆、入场价格和市场走势计算仓位抵押不足的确切价格。 3. 订单根据订单簿或通过保险基金执行,具体取决于平台的架构和可用流动性。 4. 如果头寸规模允许在完全终止之前进行分级追加...
套期保值模式在期货交易中如何发挥作用?
2026-07-08 06:40:27
对冲模式的核心机制1、期货交易中的套期保值模式在现货市场和衍生品市场之间建立了平衡地位,以抵消方向性风险。 2. 多头对冲发起期货买入头寸,同时预期未来的实物购买,锁定收购成本。 3. 空头对冲在持有或预期交割标的资产时开设期货卖出头寸,以确保出售收益。 4. 抵消发生在到期日或更早:一个市场的收益...
如何避免加密合约中的过度杠杆?
2026-06-26 19:00:10
通过杠杆放大风险1. 杠杆使收益和损失按比例成倍增加——如果在没有止损保护的情况下价格仅相对入场点变动 10%,那么 10 倍头寸就会使交易者面临全面清算的风险。 2. 在长期横盘整理或不利趋势期间,资金费率波动会加剧资本侵蚀,尤其是在多个资金间隔期间持有头寸时。 3. 不同交易所的追加保证金门槛差...
期货交易中如何设置风险管理?
2026-07-02 22:19:54
加密货币期货市场的风险识别1. 链上事件公告引发的波动性峰值通常会先于价格急剧混乱。 2. 当多个合约同时一致突破保证金阈值时,就会发生交易所特定的清算级联。 3. 订单簿深度在关键支撑/阻力位的侵蚀表明市场微观结构的结构性脆弱。 4. 永续合约和季度合约之间的资金费率差异反映出多空头寸情绪不对称的...
如何计算加密货币期货的盈亏?
2026-07-01 20:39:43
市场波动模式1. Bitcoin的价格走势往往反映宏观经济信号,例如利率公告和通胀数据发布。 2. 在市场不确定性加剧期间,山寨币与 BTC 的相关性往往会加强,从而降低多元化收益。 3. 交易所资金流入和流出对现货市场流动性在24-48小时内表现出明显的滞后效应。 4. 鲸鱼钱包活动——尤其是超过...
如何降低加密货币期货的强平价格?
2026-07-01 01:40:20
了解期货交易中的清算机制1. 当交易者的保证金余额低于维持保证金要求时,就会发生强平,触发交易所自动平仓。 2. 强平价格是根据入场价格、杠杆水平、仓位规模和资金费率调整来计算的——每个变量都直接影响触发点的落点。 3. 交易所采用不同的模型——有的采用标记价格,有的采用指数价格——来确定实时估值;...
当期货头寸遭遇强平时会发生什么?
2026-07-02 17:40:00
加密货币期货头寸清算机制1、当交易者的保证金余额低于维持保证金水平时,交易所启动自动平仓,防止负资产。 2. 强平引擎根据杠杆、入场价格和市场走势计算仓位抵押不足的确切价格。 3. 订单根据订单簿或通过保险基金执行,具体取决于平台的架构和可用流动性。 4. 如果头寸规模允许在完全终止之前进行分级追加...
套期保值模式在期货交易中如何发挥作用?
2026-07-08 06:40:27
对冲模式的核心机制1、期货交易中的套期保值模式在现货市场和衍生品市场之间建立了平衡地位,以抵消方向性风险。 2. 多头对冲发起期货买入头寸,同时预期未来的实物购买,锁定收购成本。 3. 空头对冲在持有或预期交割标的资产时开设期货卖出头寸,以确保出售收益。 4. 抵消发生在到期日或更早:一个市场的收益...
如何避免加密合约中的过度杠杆?
2026-06-26 19:00:10
通过杠杆放大风险1. 杠杆使收益和损失按比例成倍增加——如果在没有止损保护的情况下价格仅相对入场点变动 10%,那么 10 倍头寸就会使交易者面临全面清算的风险。 2. 在长期横盘整理或不利趋势期间,资金费率波动会加剧资本侵蚀,尤其是在多个资金间隔期间持有头寸时。 3. 不同交易所的追加保证金门槛差...
期货交易中如何设置风险管理?
2026-07-02 22:19:54
加密货币期货市场的风险识别1. 链上事件公告引发的波动性峰值通常会先于价格急剧混乱。 2. 当多个合约同时一致突破保证金阈值时,就会发生交易所特定的清算级联。 3. 订单簿深度在关键支撑/阻力位的侵蚀表明市场微观结构的结构性脆弱。 4. 永续合约和季度合约之间的资金费率差异反映出多空头寸情绪不对称的...
如何计算加密货币期货的盈亏?
2026-07-01 20:39:43
市场波动模式1. Bitcoin的价格走势往往反映宏观经济信号,例如利率公告和通胀数据发布。 2. 在市场不确定性加剧期间,山寨币与 BTC 的相关性往往会加强,从而降低多元化收益。 3. 交易所资金流入和流出对现货市场流动性在24-48小时内表现出明显的滞后效应。 4. 鲸鱼钱包活动——尤其是超过...
查看所有文章














