了解智能合约中的重入攻击（DAO 黑客解释）

什么是重入攻击？

1. 当外部合约在初始执行完成之前回调当前合约时，就会发生重入攻击。

2. 此漏洞是由于不正确的状态管理而产生的，具体来说，当状态变量在外部调用之后而不是之前更新时。

3. 攻击者部署包含回退函数的恶意合约，该函数会递归调用目标合约中的易受攻击函数。

4. 每个递归调用都会重新进入相​​同的逻辑路径，反复耗尽资金，而不会更新余额，直到整个调用堆栈展开。

5. 此类攻击利用以太坊的同步、单线程执行模型，其中外部调用在调用上下文中保留控制流。

DAO 事件：历史崩溃

1. DAO 是 2016 年在以太坊上推出的去中心化自治组织，旨在作为受智能合约规则管理的风险投资基金。

2.其代码允许代币持有者从 DAO 中分离出来，并通过调用splitDAO函数来回收以太币。

3. 该函数在更新内部余额之前将以太币转移到请求者的地址，创建一个经典的可重入窗口。

4. 攻击者部署了具有后备功能的合约，在收到资金后再次触发splitDAO 。

5. 在多次嵌套调用中，超过 360 万 ETH（当时价值超过 5000 万美元）在交易恢复或停止之前被抽走。

以太坊的执行模型如何实现可重入

1. Solidity 中的每个外部调用都在相同的事务上下文中执行，保留内存、存储和调用堆栈的可见性。

2. 除非通过“检查-效果-交互”等模式显式实现，否则不存在自动重入防护。

3. Gas limit 并不能阻止递归；它们仅限制总计算量，并且回退函数需要最少的 Gas 来执行。

4. EVM 不强制调用者和被调用者之间的隔离——被调用者所做的状态更改在其持续执行期间对调用者是可见的。

5. 开发人员经常低估合约交互的相互依赖程度，尤其是在涉及第三方代币或预言机时。

需要重入的常见代码模式

1. 在发送以太币或调用外部合约（而不是之前）之后更新余额或标志。

2. 使用call.value()()而不验证返回值或限制递归深度。

3.依靠this.balance进行记账，而不是跟踪存储变量中的余额。

4. 实现没有锁、互斥体或重入修饰符（例如 OpenZeppelin 的ReentrancyGuard）的撤回模式。

5. 未能审核继承逻辑——尤其是在使用代理模式或可升级合约（其中 delegatecall 保留上下文）时。

常见问题解答

问：ERC-20 转账会发生重入吗？答：标准 ERC-20 传输函数不会触发外部调用，因此无法实现原生重入。然而，像transferFrom这样的扩展与钩子相结合（例如，在ERC-777中）引入了可能发生重入的回调表面。

问：DAO 黑客攻击是否会因为硬分叉而可逆？答：是的。以太坊社区执行了硬分叉，通过重写链历史来恢复被盗资金，导致以太坊和以太坊经典分裂。

问：现代 Solidity 版本默认情况下会阻止重入吗？答：不会。Solidity v0.8.x 包括更安全的算术和恢复行为，但不会自动注入重入保护。开发人员仍然必须手动应用防御模式。

问：使用require(msg.sender.call{value: amount}(''))比address.send()更安全吗？答：两者本质上都不是安全的。如果在状态更新之前使用，两者都允许重入。关键因素是交互顺序，而不是特定的调用机制。