智能合约安全指南 [特殊字符]️
智能合约安全指南 🛡️
1. 安全基础
1.1 常见漏洞类型
- 重入攻击
- 整数溢出
- 权限控制缺陷
- 随机数漏洞
- 前后运行攻击
- 签名重放
1.2 安全开发原则
- 最小权限原则
- 检查-生效-交互模式
- 状态机安全
- 失败保护机制
2. 重入攻击防护
2.1 基本防护模式
contract ReentrancyGuarded {bool private locked;modifier noReentrant() {require(!locked, "Reentrant call");locked = true;_;locked = false;}function withdraw() external noReentrant {uint256 amount = balances[msg.sender];require(amount > 0, "No balance");balances[msg.sender] = 0; // 先更新状态(bool success, ) = msg.sender.call{value: amount}("");require(success, "Transfer failed");}
}
2.2 检查-生效-交互模式
contract CEIPattern {mapping(address => uint256) private balances;function deposit() external payable {balances[msg.sender] += msg.value;}function withdraw(uint256 amount) external {// 检查require(balances[msg.sender] >= amount, "Insufficient balance");// 生效balances[msg.sender] -= amount;// 交互(bool success, ) = msg.sender.call{value: amount}("");require(success, "Transfer failed");}
}
3. 访问控制
3.1 角色管理
contract RoleBasedAccess {using EnumerableSet for EnumerableSet.AddressSet;mapping(bytes32 => EnumerableSet.AddressSet) private roles;event RoleGranted(bytes32 indexed role, address indexed account);event RoleRevoked(bytes32 indexed role, address indexed account);modifier onlyRole(bytes32 role) {require(hasRole(role, msg.sender), "Unauthorized");_;}function hasRole(bytes32 role,address account) public view returns (bool) {return roles[role].contains(account);}function grantRole(bytes32 role,address account) external onlyRole(DEFAULT_ADMIN_ROLE) {if (roles[role].add(account)) {emit RoleGranted(role, account);}}function revokeRole(bytes32 role,address account) external onlyRole(DEFAULT_ADMIN_ROLE) {if (roles[role].remove(account)) {emit RoleRevoked(role, account);}}
}
3.2 权限代理
contract DelegatedAccess {mapping(address => mapping(address => bool)) private delegates;event DelegateChanged(address indexed delegator,address indexed delegatee,bool status);function setDelegate(address delegatee, bool status) external {delegates[msg.sender][delegatee] = status;emit DelegateChanged(msg.sender, delegatee, status);}function isDelegate(address delegator,address delegatee) public view returns (bool) {return delegates[delegator][delegatee];}modifier onlyDelegateOrOwner(address owner) {require(msg.sender == owner || isDelegate(owner, msg.sender),"Not authorized");_;}
}
4. 数据验证
4.1 输入验证
contract InputValidation {uint256 public constant MAX_ARRAY_LENGTH = 100;uint256 public constant MAX_VALUE = 1e20;function validateArrayInput(uint256[] calldata data) internal pure {require(data.length > 0, "Empty array");require(data.length <= MAX_ARRAY_LENGTH, "Array too long");for (uint i = 0; i < data.length; i++) {require(data[i] <= MAX_VALUE, "Value too large");if (i > 0) {require(data[i] >= data[i-1], "Not sorted");}}}function validateAddress(address addr) internal pure {require(addr != address(0), "Zero address");require(addr.code.length == 0, "Contract address not allowed");}
}
4.2 状态验证
contract StateValidation {enum State { Inactive, Active, Paused, Ended }State public currentState;modifier inState(State requiredState) {require(currentState == requiredState, "Invalid state");_;}function validateTransition(State newState) internal view {if (currentState == State.Inactive) {require(newState == State.Active, "Invalid transition");} else if (currentState == State.Active) {require(newState == State.Paused || newState == State.Ended,"Invalid transition");}}
}
5. 签名验证
5.1 EIP712 签名
contract EIP712Verifier {bytes32 private DOMAIN_SEPARATOR;struct EIP712Domain {string name;string version;uint256 chainId;address verifyingContract;}constructor(string memory name, string memory version) {DOMAIN_SEPARATOR = keccak256(abi.encode(keccak256("EIP712Domain(string name,string version,uint256 chainId,address verifyingContract)"),keccak256(bytes(name)),keccak256(bytes(version)),block.chainid,address(this)));}function verifySignature(bytes32 hash,bytes memory signature) internal view returns (address) {bytes32 digest = keccak256(abi.encodePacked("\x19\x01", DOMAIN_SEPARATOR, hash));return ecrecover(digest, signature[0], signature[1], signature[2]);}
}
5.2 签名重放防护
contract ReplayProtection {mapping(bytes32 => bool) private usedSignatures;function isSignatureUsed(bytes32 hash) public view returns (bool) {return usedSignatures[hash];}function markSignatureAsUsed(bytes32 hash) internal {require(!usedSignatures[hash], "Signature already used");usedSignatures[hash] = true;}function validateSignature(bytes32 hash,bytes memory signature,uint256 deadline) internal view returns (address) {require(block.timestamp <= deadline, "Signature expired");require(!isSignatureUsed(hash), "Signature already used");return verifySignature(hash, signature);}
}
6. 紧急响应
6.1 紧急停止
contract EmergencyStop {bool public stopped;address public guardian;modifier whenNotStopped() {require(!stopped, "Contract is stopped");_;}modifier whenStopped() {require(stopped, "Contract is not stopped");_;}function toggleStop() external {require(msg.sender == guardian, "Not authorized");stopped = !stopped;emit EmergencyToggled(stopped);}function emergencyWithdraw() external whenStopped {require(msg.sender == guardian, "Not authorized");// 执行紧急提款逻辑}
}
6.2 漏洞修复
contract UpgradeableSecurityFix {address public implementation;address public admin;function upgrade(address newImplementation) external {require(msg.sender == admin, "Not authorized");require(newImplementation.code.length > 0, "Not a contract");// 验证新实现是否兼容require(IUpgradeable(newImplementation).supportsInterface(0x01ffc9a7),"Incompatible implementation");implementation = newImplementation;emit Upgraded(newImplementation);}
}
7. 审计和测试
7.1 自动化测试
const { expect } = require("chai");
const { ethers } = require("hardhat");describe("SecurityTests", function() {let contract;let owner;let attacker;beforeEach(async function() {const Contract = await ethers.getContractFactory("SecureContract");[owner, attacker] = await ethers.getSigners();contract = await Contract.deploy();});it("Should prevent reentrancy attacks", async function() {await expect(contract.connect(attacker).withdraw()).to.be.revertedWith("Reentrant call");});it("Should validate access control", async function() {await expect(contract.connect(attacker).adminFunction()).to.be.revertedWith("Not authorized");});
});
7.2 形式化验证
/// @notice Invariant: total supply should always equal sum of balances
/// @custom:invariant totalSupply == sum(balances)
contract VerifiedToken {mapping(address => uint256) public balances;uint256 public totalSupply;function transfer(address to, uint256 amount) external {require(balances[msg.sender] >= amount, "Insufficient balance");balances[msg.sender] -= amount;balances[to] += amount;assert(balances[msg.sender] <= totalSupply);assert(balances[to] <= totalSupply);}
}
8. 相关资源
- 智能合约安全最佳实践
- OpenZeppelin 安全博客
- 以太坊安全工具集
- Slither 静态分析工具
- MythX 安全平台
相关文章:
智能合约安全指南 [特殊字符]️
智能合约安全指南 🛡️ 1. 安全基础 1.1 常见漏洞类型 重入攻击整数溢出权限控制缺陷随机数漏洞前后运行攻击签名重放 1.2 安全开发原则 最小权限原则检查-生效-交互模式状态机安全失败保护机制 2. 重入攻击防护 2.1 基本防护模式 contract ReentrancyGuarde…...
)
DeepSeek 全套资料pdf合集免费下载(持续更新)
有很多朋友都关注DeepSeek相关使用的教程资料,本站也一直持续分享DeepSeek 学习相关的pdf资料,由于比较零散,这篇文章主要就是做一个汇总,并且持续更新,让大家可以及时获取下载最新的相关DeepSeek的资料。 持续更新地…...
IDEA 接入 Deepseek
在本篇文章中,我们将详细介绍如何在 JetBrains IDEA 中使用 Continue 插件接入 DeepSeek,让你的 AI 编程助手更智能,提高开发效率。 一、前置准备 在开始之前,请确保你已经具备以下条件: 安装了 JetBrains IDEA&…...
将md格式转jupyter并运行
将md格式转jupyter并运行 有时候我们需要将这种文档以学习的形式记笔记到jupyter中(任务) 但是内容太多了,一个一个粘贴又不方便,怎么办呢? 发现直接粘贴到md中是带格式的!!! 那…...
SOUI基于Zint生成EAN码
EAN码广泛应用与欧洲的零售业。包括EAN-2、EAN-5、EAN-8和EAN-12码。分别编码 2、5、7 或 12 位数字。此外,可以使用 字符将 EAN-2 和 EAN-5 附加符号添加到 EAN-8 和 EAN-13 符号中,就像 UPC 符号一样。 EAN-8校验码计算: 从左往右奇数位的…...
StarRocks-fe工程在Cursor中不能识别为Java项目
SR简介 StarRocks 是一款高性能分析型数据库,支持实时、多维度、高并发的数据分析。本指南旨在解决在使用 VSCode 或 Cursor 开发 StarRocks 后端项目时遇到的模块识别问题。 问题描述 使用 Cursor 或 VSCode 打开 StarRocks 的后端工程 fe 时,spark-…...
AI是否能真正理解人类情感?从语音助手到情感机器人
引言:AI与情感的交集 在过去的几十年里,人工智能(AI)的发展速度令人惊叹,从简单的语音识别到如今的深度学习和情感计算,AI已经深入到我们生活的方方面面。尤其是在语音助手和情感机器人领域,AI不…...
)
【Linux】【网络】UDP打洞-->不同子网下的客户端和服务器通信(成功版)
【Linux】【网络】UDP打洞–>不同子网下的客户端和服务器通信(成功版) 根据上个文章的分析 问题可能出现在代码逻辑上面 我这里重新查找资料怀疑: 1 NAT映射可能需要多次数据包的发送才能建立。 2 NAT映射保存时间太短ÿ…...
)
【微知】如何查看Mellanox网卡上的光模块的信息?(ethtool -m enp1s0f0 看型号、厂商、生产日期等)
背景 服务器上插入的光模块经常被忽略,往往这里是定位问题最根本的地方。如何通过命令查看? 命令 ethtool提供了-m参数,m是module-info的意思,他是从光模块的eeprom中读取数据。(应该是用i2c协议读取的)…...
)
图论基础算法: 二分图的判定(C++)
二分图的基本概念 什么是二分图? 二分图(Bipartite Graph)是指一个图的顶点集可以被分割为两个互不相交的子集 U U U 和 V V V, 并且图中的每一条边都连接 U U U 中的一个顶点和 V V V 中的一个顶点. 换句话说, 二分图中的顶点可以被分成两组, 组内的顶点之间没有边相连…...
AI赋能校园安全:科技助力预防与应对校园霸凌
校园本应是学生快乐学习、健康成长的地方,然而,校园霸凌却成为威胁学生身心健康的隐形“毒瘤”。近年来,随着人工智能(AI)技术的快速发展,AI在校园安全领域的应用逐渐成为解决校园霸凌问题的新突破口。通过…...
PyTorch系列教程:评估和推理模式下模型预测
使用PyTorch时,将模型从训练阶段过渡到推理阶段是至关重要的一步。在推理过程中,该模型用于对以前从未见过的新数据进行预测。这种转换的一个重要方面是使用推理模式,它通过禁用仅在训练期间需要的操作来帮助优化模型的性能。 理解推理模式 …...
Linux注册进程终止处理函数
atexit() 是一个标准库函数,用于注册在进程正常终止时要调用的函数。通过 atexit(),你可以确保在程序结束时自动执行一些清理工作,比如释放资源、保存状态等。 函数原型如下: #include <stdlib.h> int atexit(void (*func…...
)
Lumerical INTERCONNECT 中的自相位调制 (SPM)
一、自相位调制的数学介绍 A.非线性薛定谔方程(NLSE): NLSE 是光学中的一个关键方程。它告诉我们光脉冲在具有非线性和色散特性的介质中的行为方式。该方程如下所示: i ∂A/∂z β2/2 ∂A/∂t γ|A|A 0 其中: - …...
DICOM服务中的C-STORE、 C-FIND、C-MOVE、C-GET、Worklist
DICOM服务说明 DICOM(Digital Imaging and Communications in Medicine)是一种用于处理、存储、打印和传输医学影像的标准。DICOM定义了多种服务类,其中C-STORE、C-FIND、C-MOVE和C-GET是与影像数据查询和检索相关的四个主要服务类ÿ…...
Python的pdf2image库将PDF文件转换为PNG图片
您可以使用Python的pdf2image库将PDF文件转换为PNG图片。以下是一个完整的示例,包含安装步骤、代码示例和注意事项。 安装依赖库 首先,您需要安装pdf2image库: pip install pdf2imagepdf2image依赖于poppler库来解析PDF文件。 Windows系统…...
在Blender中给SP分纹理组
在Blender中怎么分SP的纹理组/纹理集 其实纹理组就是材质 把同一组的材质分给同一组的模型 导入到sp里面自然就是同一个纹理组 把模型导入SP之后 就自动分好了...
import模块到另一个文件夹报错:ModuleNotFoundError: No module named xxx
1. 问题 打开项目文件夹my_code,将bb.py的函数或者类import到aa.py中,然后运行aa.py文件,可能会报错ModuleNotFoundError: No module named xxx。 E:\Desktop\my_code ├── a │ ├── train.sh │ └── aa.py └── b└── b…...
[SystemVerilog]例化
SystemVerilog 的例化方式和Verilog 类似 如果信号输入输出name一致 abc abc_inst( .a(a), .b(b), c(c) ); 使用SystemVerilog abc abc_inst( .a, .b, .c ); 或者 abc abc_inst( .* ); 在SystemVerilog中,可以简化例化方式。 可以使用…...
Java方法详解
Java方法详解 方法1.方法的概念(1).什么是方法(2).方法的定义(3).实参与形参的关系 2.方法重载(1).方法重载的概念 3.递归(C语言详细讲过) 方法 1.方法的概念 (1).什么是方法 方法类似于C语言中的函数,我们重在体会与理解,不必…...
springboot自动插入创建时间和更新时间到数据库
springboot自动插入创建时间和更新时间到数据库 1.添加TableField注解2.添加TimeMetaObjectHandler配置3.测试 1.添加TableField注解 /*** 创建时间*/TableField(fill FieldFill.INSERT) // 插入时生效private LocalDateTime createTime;/*** 修改时间*/TableField(fill Fiel…...
如何将JAR交由Systemctl管理?
AI越来越火了,我们想要不被淘汰就得主动拥抱。推荐一个人工智能学习网站,通俗易懂,风趣幽默,最重要的屌图甚多,忍不住分享一下给大家。点击跳转到网站 废话不多说,进入正题。下面开始说如何使用 systemctl…...
VMware Workstation Pro安装openKylin 2.0全流程指南
原文链接:VMware Workstation Pro安装openKylin 2.0全流程指南 Hello,大家好啊!今天给大家带来一篇在VMware Workstation Pro 上安装 openKylin 2.0 SP1 的文章。openKylin 2.0 作为国产开源桌面操作系统,目前已经发布了最新版本&…...
网络安全检查漏洞内容回复 网络安全的漏洞
网络安全的核心目标是保障业务系统的可持续性和数据的安全性,而这两点的主要威胁来自于蠕虫的暴发、黑客的攻击、拒绝服务攻击、木马。蠕虫、黑客攻击问题都和漏洞紧密联系在一起,一旦有重大安全漏洞出现,整个互联网就会面临一次重大挑战。虽…...
数据仓库的特点
数据仓库的主要特点可以概括为:面向主题、集成性、非易失性、时变性、高性能和可扩展性、支持复杂查询和分析、分层架构以及数据质量管理。 1. 面向主题(Subject-Oriented) 数据仓库是面向主题的,而不是面向事务的。这意味着数据…...
02_NLP文本预处理之文本张量表示法
文本张量表示法 概念 将文本使用张量进行表示,一般将词汇表示为向量,称为词向量,再由各个词向量按顺序组成矩阵形成文本表示 例如: ["人生", "该", "如何", "起头"]># 每个词对应矩阵中的一个向量 [[1.32, 4,32, 0,32, 5.2],[3…...
)
青蛙跳杯子(BFS)
#include <iostream> #include <queue> #include <string> #include <unordered_set> using namespace std;int main() {string a, b;cin >> a >> b; int n a.size(); // 字符串长度int d[] {1, -1, -2, 2, -3, 3}; // 跳跃距离queue&…...
)
【前端基础】1、HTML概述(HTML基本结构)
一、网页组成 HTML:网页的内容CSS:网页的样式JavaScript:网页的功能 二、HTML概述 HTML:全称为超文本标记语言,是一种标记语言。 超文本:文本、声音、图片、视频、表格、链接标记:由许许多多…...
Arm64架构的Linux服务器安装jdk8
一、下载 JDK8 打开浏览器,访问 oracle官网找到适用于自己服务器的 arm64 架构的 JDK8 安装包。 二、安装 JDK8 将下载好的 JDK 压缩包上传到服务器上 解压 JDK 压缩包: tar -zxvf jdk-8uXXX-linux-arm64.tar.gz选择安装目录,我将 JDK 安装…...
深入探索Python机器学习算法:模型调优
深入探索Python机器学习算法:模型调优 文章目录 深入探索Python机器学习算法:模型调优模型调优1. 超参数搜索方法1.1 网格搜索(Grid Search)1.2 随机搜索(Random Search)1.3 贝叶斯优化(Bayesia…...
【Linux】冯诺依曼体系结构-操作系统
一.冯诺依曼体系结构 我们所使用的计算机,如笔记本等都是按照冯诺依曼来设计的: 截止目前,我们所知道的计算机都是由一个一个的硬件组装起来的,这些硬件又由于功能的不同被分为了输入设备,输出设备,存储器…...
Linux第五讲----gcc与g++,makefile/make
1.代码编译 1.1预处理 我们通过vim编辑完文件之后,想看一下运行结果这时我们便可以试用gcc编译C语言,g编译c. 编译代码: 上述两种方法均可,code.c是我的c语言文件,mycode是我给编译后产生的二进制文件起的名&#x…...
)
FastGPT 源码:基于 LLM 实现 Rerank (含Prompt)
文章目录 基于 LLM 实现 Rerank函数定义预期输出实现说明使用建议完整 Prompt 基于 LLM 实现 Rerank 下边通过设计 Prompt 让 LLM 实现重排序的功能。 函数定义 class LLMReranker:def __init__(self, llm_client):self.llm llm_clientdef rerank(self, query: str, docume…...
Virtual Box虚拟机安装Mac苹果Monterey和big sur版本实践
虚拟机安装苹果实践,在Windows10系统,安装Virtual Box7.1.6,安装虚拟苹果Monterey版本Monterey (macOS 12) 。碰到的主要问题是安装光盘不像Windows那么容易拿到,而且根据网上很多文章制作的光盘,在viritualBox里都无法…...
【高并发】Java 并行与串行深入解析:性能优化与实战指南
Java 并行与串行深入解析:性能优化与实战指南 在高性能应用开发中,我们常常会面临 串行(Serial) 和 并行(Parallel) 的选择。串行执行任务简单直观,但并行能更高效地利用 CPU 资源,…...
软考中级-数据库-3.2 数据结构-数组和矩阵
数组 一维数组是长度固定的线性表,数组中的每个数据元素类型相同。n维数组是定长线性表在维数上的扩张,即线性表中的元素又是一个线性表。 例如一维数组a[5][a1,a2,a3,a4,a5] 二维数组a[2][3]是一个2行2列的数组 第一行[a11,a12,a13] 第二行[a21,a22,a23…...
)
LeetCode 解题思路 9(Hot 100)
解题思路: 遍历并调整数组: 对于每个元素 nums[i],若其值为正且不超过数组长度 len,则将其逐步交换到它应该在的位置。查找缺失的正整数: 遍历调整后的数组,若某个位置的值不等于其索引加1,则说…...
交叉编译 perl-5.40.0 perl-cross-1.5.3
1.下载地址: https://www.cpan.org/src/5.0/ https://github.com/arsv/perl-cross/tags2.编译 # 进入源码目录 cd /opt/snmp/perl # 合并perl-cross到Perl源码 cp -R perl-cross-1.5.3/* perl-5.40.0/ cd perl-5.40.0./configure --targetaarch64-poky-linux --p…...
go前后端开源项目go-admin,本地启动
https://github.com/go-admin-team/go-admin 教程 1.拉取项目 git clone https://github.com/go-admin-team/go-admin.git 2.更新整理依赖 go mod tidy会整理依赖,下载缺少的包,移除不用的,并更新go.sum。 # 更新整理依赖 go mod tidy 3.编…...
突破光学成像局限:全视野光学血管造影技术新进展
全视野光学血管造影(FFOA)作为一种实时、无创的成像技术,能够提取生物血液微循环信息,为深入探究生物组织的功能和病理变化提供关键数据。然而,传统FFOA成像方法受到光学镜头景深(DOF)的限制&am…...
RefuseManualStart/Stop增强Linux系统安全性?详解systemd单元保护机制
一、引子:一个“手滑”引发的血案 某天凌晨,运维工程师小张在维护生产服务器时,误输入了 systemctl start reboot.target,导致整台服务器瞬间重启,线上服务中断30分钟,直接损失数十万元。事后排查发现&…...
国产编辑器EverEdit - 超级丰富的标签样式设置!
1 设置-高级-标签 1.1 设置说明 选择主菜单工具 -> 设置 -> 常规,在弹出的选项窗口中选择标签分类,如下图所示: 1.1.1 多文档标签样式 默认 平坦 渐变填充 1.1.2 停靠窗格标签样式 默认 平坦 渐变填充 1.1.3 激活Tab的…...
装饰器模式:灵活扩展对象功能的利器
一、从咖啡加料说起:什么是装饰器模式? 假设您走进咖啡馆点单: 基础款:美式咖啡(15元)加料需求:加牛奶(3元)、加焦糖(5元)、加奶油(…...
# [Linux] [Anaconda]解决在 WSL Ubuntu 中安装 Anaconda 报错问题
在 Windows 10 中安装了 WSL(Windows Subsystem for Linux)并使用 Ubuntu 后,你可能会下载 Anaconda 的 Linux 版本进行安装。但在安装过程中,可能会遇到 tar (child): bzip2: Cannot exec: No such file or directory 这样的错误…...
【回溯】216. 组合总和 III
题目 216. 组合总和 III 思路 不知道for有几层时,使用回溯,比上一题多了一个条件,组合需要和为n。 代码 class Solution { private:vector<vector<int>>result;vector<int>path;void backtracking(int target,int k,i…...
)
AI编程工具-(四)
250304今天用【通义灵码】做了下简单的分析建模工作。不够丝滑,但是在数据预处理方面还是有用。 目录 准备工作一分析工作建模结论 这个数据集是网上随手找的时许指标数据,然后分析时序指标A和B关联关系。 准备工作一 问大模型,这个场景有哪…...
一种事件驱动的设计模式-Reactor 模型
Reactor 模型 是一种事件驱动的设计模式,主要用于处理高并发的 I/O 操作(如网络请求、文件读写等)。其核心思想是通过事件分发机制,将 I/O 事件的监听和处理解耦,从而高效管理大量并发连接,避免传统多线程模…...
AI-Ollama本地大语言模型运行框架与Ollama javascript接入
1.Ollama Ollama 是一个开源的大型语言模型(LLM)平台,旨在让用户能够轻松地在本地运行、管理和与大型语言模型进行交互。 Ollama 提供了一个简单的方式来加载和使用各种预训练的语言模型,支持文本生成、翻译、代码编写、问答等多种…...
XPath路径表达式
1. 绝对路径表达式 语法:/根元素/子元素/子子元素... 特点**:**必须从根元素开始,完整地逐层写路径。 示例代码: <!-- XML结构 --> <school> <class id"1"> <student>小明</student> &l…...
大语言模型的逻辑:从“鹦鹉学舌”到“举一反三”
引言 近年来,大语言模型(LLM)在自然语言处理领域取得了突破性进展,其强大的文本生成和理解能力令人惊叹。然而,随着应用的深入,人们也开始关注LLM的“逻辑”问题:它究竟是机械地模仿人类语言&a…...