⑴ 以太坊web3.sendRawTransaction離線簽名交易
工作中需要復現短地址攻擊和the重入攻擊,重入攻擊可以直接通過eth.sendTransaction和remix來發送交易,但是短地址攻擊由於錢包和remix這些都對input做了長度檢測,無法通過這些方式來復現,只能通過發離線簽名交易來實現。
1.環境依賴:nodejs , keythereum , ethereumjs-common , ethereumjs-tx 。
2.進入Node控制台,獲取相應賬戶私鑰。
3.簽名交易,進入Node,這里注意nonce問題,需要Nonce是實際可執行的nonce,Nonce不對會發送交易失敗,關於如何獲取input data網路比較多就不詳述了。
4.遇到的坑,網路出來的步驟是有問題的或者過時了,當時是參考的這篇文章, https://www.freebuf.com/articles/blockchain-articles/199903.html
,在控制台通過eth.sendRawTransaction發送簽名好的交易,我遇到了這個錯誤 ** sendRawTransaction invalid sender **
⑵ 浠ュお鍧婃湁鍝浜涘畨鍏ㄦ紡媧烇紝浠ュ強濡備綍瑙e喅
浠ュお鍧婄殑瀹夊叏婕忔礊鍙婇槻鑼冩帾鏂
浠ュお鍧婃槸涓縐嶆暟瀛楄揣甯侊紝鍏跺湪鍘諱腑蹇冨寲鍜屽尯鍧楅摼鎶鏈鏂歸潰鍏鋒湁鍙闈犳у拰鐏墊椿鎬с傚熀浜庝互澶鍧婄殑鏅鴻兘鍚堢害浣垮緱鏇村氱殑搴旂敤寰椾互瀹炵幇錛屼絾鍚屾椂涔熷甫鏉ヤ簡瀹夊叏闂棰樸備互涓嬫槸浠ュお鍧婄殑甯歌佹紡媧炲強瀵瑰簲鐨勮В鍐蟲柟妗堬細
1.閲嶅叆婕忔礊
閲嶅叆鏀誨嚮鏄鏅鴻兘鍚堢害鏈甯歌佺殑瀹夊叏闂棰樸傚畠鏄鐢變竴嬈″悎綰﹁皟鐢ㄥ紩璧風殑銆傚湪榪欎釜鍦烘櫙涓錛屾敾鍑昏呭埄鐢ㄤ簡鏌愪釜鏅鴻兘鍚堢害鍑芥暟榪涜屽洖璋冿紝浠庤屼嬌鍑芥暟琚閲嶅嶆墽琛岋紝騫墮犳垚鎰忔枡涔嬪栫殑鎹熷け銆
閽堝歸噸鍏ユ紡媧烇紝寮鍙戜漢鍛樺簲閲囧彇浠ヤ笅棰勯槻鎺鏂斤細
棣栧厛錛屽簲褰撻伩鍏嶅湪鍚堢害涓浣跨敤send鍜宼ransfer銆傚彲浠ヤ嬌鐢╟all鏇挎崲send鍜宼ransfer銆
鐒跺悗錛屽湪淇鏀圭姸鎬佸彉閲忎箣鍓嶏紝搴旂『淇濆噯紜鍦版鏌ュ畬鎴愮姸鎬併
鏈鍚庯紝鍦ㄩ噸鍏ョ殑鍑芥暟涓浣跨敤mutex鏉ラ伩鍏嶅悓鏃舵墽琛屻
2.婧㈠嚭婕忔礊
婧㈠嚭鏄鍙︿竴涓寰堝父瑙佺殑婕忔礊銆傚湪浠ュお鍧婂悎綰︿腑錛屾湁涓浜涜$畻閮芥槸浣跨敤闈炲父澶х殑鏁存暟榪涜岀殑銆傚傛灉鏌愪釜鎿嶄綔瀵艱嚧鏁版嵁綾誨瀷瓚呭嚭璇ョ被鍨嬫敮鎸佺殑鍙栧艱寖鍥達紝灝變細鍙戠敓婧㈠嚭銆
閽堝規孩鍑烘紡媧烇紝搴旈噰鍙栦互涓嬫帾鏂斤細
棣栧厛錛屽簲灝哻ontract鐨勯挶鍖呬綑棰濋檺鍒跺湪鍙鎺ュ彈鐨勪綆鍊艱寖鍥村唴銆
鍏舵★紝閾句笂鐨勬煇浜涙搷浣滃簲褰撹繘琛屽畨鍏ㄩ檺鍒躲備緥濡傦紝blockchain涓婄殑鍒嗛厤鎿嶄綔蹇呴』闄愬埗瓚呭嚭鍖哄潡涓鐨勪綑棰濆箋
鏈鍚庯紝鍚堢害涓鐨勬暟鎹綾誨瀷蹇呴』鏄鎵闇鐨勩傚繀欏誨逛嬌鐢ㄧ殑璁$畻鍜屾暟鎹綾誨瀷榪涜岄傚綋鐨勬鏌ワ紝浠ラ槻姝㈡暟鎹綾誨瀷婧㈠嚭銆
3.鍦板潃綈挎紡媧
鍦板潃綈挎紡媧炴槸鐢ㄦ埛鍦ㄤ嬌鐢ㄦ櫤鑳藉悎綰︽椂閬囧埌鐨勫畨鍏ㄩ庨櫓涔嬩竴銆傚畠鏄鐢變簬鐢ㄦ埛鍦ㄥ悎綰︿氦浜掕繃紼嬩腑杈撳叆鐨勫湴鍧瀛樺湪瀹夊叏闂棰樸
閽堝瑰湴鍧綈挎紡媧烇紝閲囧彇浠ヤ笅棰勯槻鎺鏂斤細
棣栧厛錛屽湪鍚堢害澶勭悊榪囩▼涓錛岄伩鍏嶇洿鎺ヤ粠杈撳叆鍦板潃涓璇誨彇錛屽噺灝戞墽琛岀殑瀹夊叏椋庨櫓銆
鍏舵★紝鍦ㄥ勭悊鍦板潃鏃訛紝紜淇濆湴鍧鍊肩殑鍚堟硶鎬э紝鍖呮嫭蹇呴』鏄姝g『鐨勪互澶鍧婂湴鍧銆佷笉鏄鍙鑳借鐢ㄤ簬瀹夊叏鏀誨嚮鐨勫湴鍧錛屽苟涓斿繀欏繪槸宸茬粡鍦ㄤ互澶鍧婄綉緇滀腑琚瀹屽叏楠岃瘉鐨勫湴鍧銆
鏈鍚庯紝鍦ㄥ勭悊鍦板潃鏃訛紝紜淇濈敤閫傚綋鐨勬柟寮忛獙璇佸湴鍧銆
鎬葷粨
浠ヤ笂鏄浠ュお鍧婄殑涓浜涘父瑙佹紡媧炲拰瀵瑰簲鐨勮В鍐蟲柟妗堛傚湪鏋勫緩浠ュお鍧婃櫤鑳藉悎綰︽椂錛屽簲涓ユ牸閬靛驚瀹夊叏瑙勫垯錛屽敖鏈澶у姫鍔涜勯伩鍚勭嶅彲鑳界殑瀹夊叏闅愭偅錛屼粠鑰岀『淇濇櫤鑳藉悎綰︾殑瀹夊叏榪愯屻
⑶ eth靚號地址安全嗎
不安全。
1、如果說區塊鏈也有315,那麼以太坊想必榜上有名。以太坊自運行以來多次爆出過由於漏洞造成的重大安全事件。
2、2016年6月17日,區塊鏈出現了歷史上沉重的一次攻擊事件。由於以太坊的智能合約存在著重大缺陷,區塊鏈業界最大的眾籌項目TheDAO(被攻擊前擁有約1億美元的資產)遭到攻擊,導致300多萬以太幣資產被分離出TheDAO資產池。2017年7月21日,智能合約編碼公司Parity警告其1.5版本及之後的錢包軟體存在漏洞,據Etherscan.io的數據確認,有價值3000萬美元的15萬以太幣被盜。2017年11月8日,Parity錢包再出現重大bug,多重簽名漏洞被黑客利用,導致上億美元資金被凍結。
3、以太坊開源軟體主要是由社區的極客共同編寫的,目前已知存在Solidity語言漏洞、短地址漏洞、交易順序依賴、時間戳依賴、可重入攻擊等漏洞,在調用合約時漏洞可能被利用,而智能合約部署後難以更新的特性也讓漏洞的影響更加廣泛持久。