Solidity智能合约安全：防止重入攻击的4种方法

使用检查、影响和交互模式（简称CEI:Checks, Effects, and Interactions）、互斥锁、Pull 支付方式以及gas限制都是防止可重入攻击的有效技术。

> * 原文：https://betterprogramming.pub/solidity-smart-contract-security-preventing-reentrancy-attacks-fc729339a3ff > * 译文出自：[区块链开发网翻译计划](https://github.com/lbc-team/Pioneer) > * 译者：[翻译小组](https://learnblockchain.cn/people/412) > * 校对：[Tiny 熊](https://learnblockchain.cn/people/15) > * 本文永久链接：[learnblockchain.cn/article…](https://learnblockchain.cn/article/4162) # Solidity智能合约<a href="http://www.bwbbw.com/archives/tag/%e5%ae%89%e5%85%a8" title="View all posts in 安全" target="_blank">安全</a>：防止<a href="http://www.bwbbw.com/archives/tag/%e9%87%8d%e5%85%a5%e6%94%bb%e5%87%bb" title="View all posts in 重入攻击" target="_blank">重入攻击</a>的4种方法 ![img](https://img.learnblockchain.cn/pics/20220601182934.jpeg!/scale/40) Photo by [Shubham Dhage](https://unsplash.com/@theshubhamdhage?utm_source=unsplash&utm_medium=referral&utm_content=creditCopyText) on [Unsplash](https://unsplash.com/@theshubhamdhage?utm_source=unsplash&utm_medium=referral&utm_content=creditCopyText) 重入是一种编程技术，在这种技术中，一个函数(“A”)的执行被一个外部函数调用打断，在外部函数调用的逻辑中，能够递归地调用原函数（“A”）。在某些情况下，重复地重新进入一个函数来执行外部逻辑可能是可取的，不一定是错误。然而，这种技术不建议用于智能合约，因为它将控制流执行释放给不受信任的合约，而器可能用于盗取资金。因此，在执行对外部合约的调用时，应使用反重入模式和防护措施来防止这种类型的攻击发生。 有三种主要技术来防止重入： – 使用检查、影响、交互（CEI） – 使用防重入互斥锁 – 使用Pull 支付方式 此外，还有一种技术可能是有效的，但不推荐使用，他是使用 Gas Limit 限制。 ## 检查、影响、交互 CEI模式是一种简单而有效的防止重入的方法。检查指的是判断是否符合条件（验证真实性）。影响指的是由交互产生的状态修改。最后，交互指的是函数或合约之间的调用。 下面是一个错误的示范（因为*交互*在*影响*之前）： “`solidity // contract_A: holds user’s funds function withdraw() external { uint userBalance = userBalances[msg.sender]; require(userBalance > 0); (bool success,) = msg.sender.call{ value: userBalance }(“”); require(success,); userBalances[msg.sender] = 0; } “` 这里是攻击者的[receive函数](https://learnblockchain.cn/docs/solidity/contracts.html#index-11)： “`solidity // contract_B: reentrancy attack receive() external payable { if (address(contract_A).balance >= msg.value) { contract_A.withdraw(); } } “` 攻击者的receive函数收到提款后，本应该只返回`success`，但却检查`contract_A`是否包含更多的资金。如果是，`contract_B`会再次调用提款函数，递归直到c…

原文：https://betterprogramming.pub/solidity-smart-contract-security-preventing-reentrancy-attacks-fc729339a3ff

译文出自：区块链开发网翻译计划

译者：翻译小组

校对：Tiny 熊

本文永久链接：learnblockchain.cn/article…

Solidity智能合约安全：防止重入攻击的4种方法

Photo by Shubham Dhage on Unsplash

重入是一种编程技术，在这种技术中，一个函数(“A”)的执行被一个外部函数调用打断，在外部函数调用的逻辑中，能够递归地调用原函数（“A”）。在某些情况下，重复地重新进入一个函数来执行外部逻辑可能是可取的，不一定是错误。然而，这种技术不建议用于智能合约，因为它将控制流执行释放给不受信任的合约，而器可能用于盗取资金。因此，在执行对外部合约的调用时，应使用反重入模式和防护措施来防止这种类型的攻击发生。

有三种主要技术来防止重入：

使用检查、影响、交互（CEI）
使用防重入互斥锁
使用Pull 支付方式

此外，还有一种技术可能是有效的，但不推荐使用，他是使用 Gas Limit 限制。

检查、影响、交互

CEI模式是一种简单而有效的防止重入的方法。检查指的是判断是否符合条件（验证真实性）。影响指的是由交互产生的状态修改。最后，交互指的是函数或合约之间的调用。

下面是一个错误的示范（因为交互在影响之前）：

// contract_A: holds user's funds

function withdraw() external {
  uint userBalance = userBalances[msg.sender];

  require(userBalance > 0);

  (bool success,) = msg.sender.call{ value: userBalance }("");
  require(success,);

  userBalances[msg.sender] = 0;
}

这里是攻击者的receive函数：

// contract_B: reentrancy attack

receive() external payable {
  if (address(contract_A).balance >= msg.value) {
    contract_A.withdraw();
  }
}

攻击者的receive函数收到提款后，本应该只返回success，但却检查contract_A是否包含更多的资金。如果是，contract_B会再次调用提款函数，递归直到c…

剩余50%的内容订阅专栏后可查看

发表于 2022-06-02 11:59
阅读 ( 1498 )
学分 ( 1 )
分类：智能合约
专栏：全面掌握Solidity智能合约开发

文章版权归作者所有，未经允许请勿转载。

THE END

以太坊
# 安全 # 重入攻击

喜欢就支持一下吧