什么是智能合同中的重新攻击？

正如臭名昭著的Dao Hack所示，重新入侵攻击利用了智能合约中的递归功能来耗尽资金。

2025/07/15 02:50

了解智能合约的基础知识

智能合约是一份自执行的合同，其条款直接写入代码中。它在以太坊等区块链平台上运行，并自动执行没有中介机构的各方之间的协议。这些合同一旦部署后都是不可变的，这意味着代码中存在的任何漏洞都无法改变驱逐后。这种不变性使得确保智能合约在上线之前可以免受所有可能的漏洞的安全至关重要。

这样的利用之一是重新进入攻击，该攻击造成了加密货币生态系统中的重大损失。了解这种漏洞的工作方式需要掌握智能合约如何通过功能调用与外部帐户和其他合同相互作用。

什么是重新进入攻击？

当恶意合同在初始执行完成之前反复调用另一个合同中的脆弱功能时，会发生重新攻击。这种递归行为可以以意想不到的方式流失资金或操纵状态变量。

经典的示例涉及合同处理以太转移。如果功能在更新其内部余额之前将以太发送到外部地址，则恶意合同可以在转移期间重新输入该功能，并反复流失合同的资金。 2016年臭名昭著的DAO骇客导致了6000万美元的以太损失，这是由于重新进入的结果。

重新进入攻击如何在实践中起作用？

为了更好地理解重新进入攻击的机制，请考虑以下简化方案：

合同具有withdraw()功能，允许用户撤回其沉积以太。
该函数首先使用call.value()将以太发送给用户，然后将用户的余额更新为零。
恶意合同将自己注册为用户，并将以太存入目标合同。
当它调用withdraw()时，目标合同会启动以太转移。
在转移期间，恶意合同的后备功能（会自动触发）再次呼叫withdraw() 。
由于余额尚未更新，因此合同认为用户仍然有可用的资金并发送更多的以太。
该循环一直持续到合同耗尽或气体用完为止。

此过程利用合同中的操作顺序 - 特别是在更新状态之前发送以太。

重新输入漏洞的类型

重新进入攻击有几种形式，每种攻击都利用合同逻辑的不同方面：

单功能重新输入：当单个函数包含外部呼叫和状态更改时，就会发生这种情况。攻击者在更新状态之前在外部呼叫期间触发重新进入。
跨功能重新输入：在这里，多个功能共享状态变量。攻击者可以在第一个仍在执行时重新输入第二个功能，从而不一致地操纵共享数据。
授权重新输入：此高级变体使用delegatecall机制在另一个合同中执行代码。如果不仔细处理，这可能会导致意外的重新进入场景。

每种类型都需要仔细的审核和特定的缓解策略，以防止剥削。

如何防止重新进入攻击

防止重新进入攻击涉及在合同设计和利用安全工具方面采用最佳实践：

使用检查效应 - 交互模式：在拨打任何外部呼叫之前，请务必更新合同的状态。这样可以确保没有重新进入可以操纵现有的平衡或州。
实施重新进入警卫：诸如OpenZeppelin之类的库提供了重新输入后卫修饰符，该修饰符使用MUTEX变量阻止重新进入呼叫。
避免复杂的外部呼叫：最大程度地减少与未知或未经信任合同的互动。在必要时，请确保回调是安全的，并且不要触发任意代码。
使用推拉付款：而不是将资金推向用户，而是让他们启动提款。这降低了递归排水的风险。
进行详尽的审核：使用自动化工具和手动审查来检测代码库中潜在的重新输入矢量。

通过采用这些策略，开发人员可以大大减少成功重新进入攻击的可能性。

真实世界的重新输入示例

几起备受瞩目的事件强调了重新进入攻击的毁灭性影响：

DAO HACK（2016） ：最著名的案件涉及一个分散的自治组织，其智能合同允许递归提款。攻击者利用了这一点，以耗尽数百万美元的乙醚。
Fusion网络攻击（2021年） ：黑客在协议中利用了一个跨功能重新输入错误，导致了1400万美元的损失。
Warp Finance Hack（2021） ：在不同职能上利用了多个重新入侵点，使攻击者能够耗尽近800万美元的资产。

这些示例强调了严格的测试和遵守对确保编码实践的重要性。

常见问题

问：在非埃塞姆区块链中可以重新进入攻击吗？

是的，重新输入攻击会影响任何以外部呼叫和可变状态支持智能合约的区块链平台。尽管以太坊已经看到了最突出的案例，但二元智能链，Solana等人也存在类似的漏洞。

问：所有外部电话都危险吗？

不，但是应该谨慎对待外部呼叫。在更新临界状态变量之前制造时会出现危险。正确的编码模式和保障措施可以减轻这种风险。

问：如何测试我的重新进入漏洞的合同？

您可以使用静态分析工具，例如Slither或Secrefify，执行手动代码审核，并使用Brownie或Hardhat等框架模拟攻击方案。使用重新进入警卫并遵循安全的开发实践也有帮助。

问：Flash贷款攻击与重新进入攻击之间有什么区别？

尽管两者都可以利用Defi协议，但Flash贷款攻击依赖于借用大量资本而无需抵押并将其偿还在同一交易中。重新入侵的重点是递归呼吁操纵合同状态的职能。但是，有些攻击结合了两种技术，以增加影响。

免责声明:info@kdj.com

所提供的信息并非交易建议。根据本文提供的信息进行的任何投资，kdj.com不承担任何责任。加密货币具有高波动性，强烈建议您深入研究后，谨慎投资！

如您认为本网站上使用的内容侵犯了您的版权，请立即联系我们（info@kdj.com），我们将及时删除。

恐惧与贪婪指数

立即交易

最大赢家

STIK

$1.93

102.64%

立即交易
THE

$0.5663

80.57%

立即交易
KEEP

$0.1114

34.43%

立即交易
CROSS

$0.2107

25.05%

立即交易
AURA

$0.1743

22.35%

立即交易
AEVO

$0.1217

16.68%

立即交易

相关百科

什么是签订合同，与硬币修订合同的合同是什么？

2025-07-15 18:36:13

了解签订合同和硬币划分合同之间的差异在加密货币衍生品的世界中，保证金在确定交易者如何管理其头寸方面起着至关重要的作用。交易者经常遇到两种主要类型的合同类型：签订合同和硬币合同。每种类型都有不同的特征，会影响交易策略，风险敞口和整体盈利能力。什么是签订合同的合同？签订合同是一种期货或永久合同，在该合同...

如何进行Bitcoin期货交易策略？

2025-07-15 11:35:36

了解Bitcoin期货交易Bitcoin期货交易涉及以预定的价格和将来以预定的价格和日期购买或出售Bitcoin的合同。交易者使用这些工具来推测价格变动或对冲现有职位。在这种情况下对策略进行回测，意味着将交易计划应用于历史数据，以评估其绩效，然后再冒险实际资本。这个过程有助于确定战略中的优势和劣势，...

交易心理学Bitcoin合同

2025-07-13 02:50:00

了解Bitcoin期货交易的情感过山车Bitcoin合同交易，尤其是以期货的形式，引入了高水平的波动性和杠杆作用，可能会对交易者的心理状态产生重大影响。与现货交易（在您购买实际Bitcoin）的地方不同，期货合约允许交易者推测价格变动而不拥有基础资产。这种动态创造了独特的情感景观，贪婪，恐惧和过度自...

可以将闪电网络用于智能合约吗？

2025-07-14 23:28:20

了解闪电网络的核心功能Lightning网络是建立在Bitcoin之类的区块链协议之上的第二层解决方案，以启用更快，更便宜的交易。它通过在用户之间创建链付款渠道，使他们可以进行多次交易而不将每个交易广播到主区块链，从而运行。该系统大大降低了交易费用并增加了吞吐量。但是，其主要的设计重点一直放在微型和...

宏观经济新闻如何影响Bitcoin期货价格？

2025-07-15 16:56:50

了解宏观经济新闻与Bitcoin期货之间的关系Bitcoin期货是衍生合同，允许交易者在不拥有基础资产的情况下推测Bitcoin的未来价格。这些合同受到市场情绪的严重影响，这反过来又受到各种宏观经济指标和新闻事件的影响。宏观经济新闻与Bitcoin期货价格之间的相关性源于以下事实：加密货币虽然分散，...

一天中的最佳交易时间Bitcoin合同？

2025-07-13 05:29:09

了解Bitcoin合同及其波动性Bitcoin合同，尤其是期货合约，是衍生工具，允许交易者在不拥有基础资产的情况下推测Bitcoin的未来价格。这些合同来自Bitcoin的现货价格，并在Binance，Bybit和Okx等平台上进行交易。 Bitcoin的波动性使这些合同具有很高的吸引力，但也有风险...