庞博文 - 智能合约攻击方法(三)|暗网潜航
庞博文
2022-05-23 00:00 HKT
字体大小
要开展一个完整的NFT项目,除了专业的技术,信息安全意识也不容忽视,一旦欠缺信息安全意识,便有可能威胁到项目团队及使用者的资产。因此团队可多留意智能合约的攻击方法,以保障项目的安全性。
「智能合约的交易伸延或者延迟攻击」(Smart Contract Transaction Ordering Dependence(TOD)attack)为其中一种攻击方法。每一张智能合约进行交易时都有其先后时序,它们决定了矿工费及优先次序,若程序员和矿工在生成新区块时没有明确定义合同的状态和启动时间,在销售NFT的二级市场上将会是天大的问题。例如如果价格变动频繁,但交易的时间性可以无限伸延或者回朔延迟,将会有人能穿梭不同时间点,随意用偏低的价格购买NFT。
另一种手法是「时间戳倚赖性攻击」(Timestamp Dependence attack)。网络上任何事情都倚赖时间准确性,以太坊也不例外。以太坊对照连结可靠的NTP系统,但并非所有矿工或编写铸币网站的程序员都有同样做法。由于所有NTP系统都有一定的差异性,例如秒到毫秒、微秒、奈秒之差等。在人类角度,这只是刹那间并且难以捕捉的事情,但对电脑来说这已是可以计算的量度单位。因此如果攻击者利用合约里不严谨的时间戳,以及配置不严谨的区块时间戳差异性,就可以令一个倚赖时间戳进行随机生成彩票,或盲盒功能的智能合约,在进行抽奖时完全被操控并影响赛果。
笔者希望业界人士可借此提高信息安全意识,尽可能保障所有持份者的资产,让他们都能够安心接触区块链相关的项目。
TOZ联合创办人
庞博文
「智能合约的交易伸延或者延迟攻击」(Smart Contract Transaction Ordering Dependence(TOD)attack)为其中一种攻击方法。每一张智能合约进行交易时都有其先后时序,它们决定了矿工费及优先次序,若程序员和矿工在生成新区块时没有明确定义合同的状态和启动时间,在销售NFT的二级市场上将会是天大的问题。例如如果价格变动频繁,但交易的时间性可以无限伸延或者回朔延迟,将会有人能穿梭不同时间点,随意用偏低的价格购买NFT。
另一种手法是「时间戳倚赖性攻击」(Timestamp Dependence attack)。网络上任何事情都倚赖时间准确性,以太坊也不例外。以太坊对照连结可靠的NTP系统,但并非所有矿工或编写铸币网站的程序员都有同样做法。由于所有NTP系统都有一定的差异性,例如秒到毫秒、微秒、奈秒之差等。在人类角度,这只是刹那间并且难以捕捉的事情,但对电脑来说这已是可以计算的量度单位。因此如果攻击者利用合约里不严谨的时间戳,以及配置不严谨的区块时间戳差异性,就可以令一个倚赖时间戳进行随机生成彩票,或盲盒功能的智能合约,在进行抽奖时完全被操控并影响赛果。
笔者希望业界人士可借此提高信息安全意识,尽可能保障所有持份者的资产,让他们都能够安心接触区块链相关的项目。
TOZ联合创办人
庞博文
最Hit
长者乘车优惠明年4月收紧!长者群组热议「两蚊两折」点样计? 每月限搭240程?北上深圳贵好多?
2025-12-12 17:51 HKT
长寿秘诀|90岁烘焙师仍出书主持节目 公开3大饮食习惯 保持健康绝不吃1类食物
2025-12-13 10:14 HKT
奇闻秘史︱同治皇帝传染花柳驾崩 慈禧当日点处治「嫖娼指南」王庆祺?
2025-12-13 07:00 HKT
港人重返职场做满1年额外「收政府$2万支票」 附2大中年再就业/求职津贴申请方法
2025-12-12 17:26 HKT
更多文章
