Ⅰ 回首Delegatecall漏洞下的Parity多重签名合约
回顾2017年7月19日,Parity Multisig钱包合约曝出漏洞,黑客从三个安全级别高的多重签名合约中窃取了15万余以太坊,金额约3000万美元。Parity钱包以其运行速度快、资源占用少、同步效率高、支持定时转账交易等优势备受赞赏,但也存在对代币支持不足的问题。用户可通过导入imToken来弥补这一缺陷。然而,这次事件暴露出一个严重漏洞。
delegatecall函数是关键,它允许合约调用另一个合约的代码,但不使用当前合约的存储、余额等信息。这设计初衷是为了利用其他合约的库代码,但也为黑客提供了一条途径。黑客通过delegatecall调用initWallet函数,使得initMultiowned函数可以被执行,从而将Parity钱包库合约转变为普通多重签名钱包,并控制所有权。黑客利用这一漏洞,可以将钱包变成自己的,然后执行转账操作。
访问控制问题普遍存在,智能合约也不例外。不当的访问控制设置可能导致攻击者直接访问合约的私有价值或逻辑。更复杂的是,访问控制旁路可能发生在合约使用已弃用的tx.origin验证调用者、长时间处理大型授权逻辑后,鲁莽使用delegatecall在代理库或代理合约中。
深入分析发现,initWallet函数能够改变合约的所有权,而代码中使用delegatecall函数,导致所有public函数对所有人可见,且没有设置任何防护措施。攻击者首先获取所有权,将转账指令存入Data,随后执行execute获取所有资金。
针对这一漏洞,建议采取如下防范措施:谨慎使用delegatecall函数,明确函数可见性,避免public类型,可使用external类型限制外部调用;加强权限控制,设置onlyOwner等修饰器保护敏感函数,确保只有合约所有者能执行特定操作。
Ⅱ eth涓嶈繘鐭挎睜鎬庝箞鏍锋寲
eth涓嶈繘鐭挎睜鎬庝箞鎸栫熆
瑕佹兂鍦ㄤ笉鍔犲叆鐭挎睜鐨勬儏鍐典笅鎸朎TH锛屾偍闇瑕佹寜鐓т互涓嬫ラよ繘琛屾搷浣滐細
鑾峰彇浠ュお鍧婇挶鍖咃細鎮ㄩ渶瑕佸畨瑁呬互澶鍧婇挶鍖咃紝渚嬪侴eth銆丳arity鎴朚yEtherWallet銆傝繖灏嗕负鎮ㄦ彁渚涗竴涓浠ュお鍧婂湴鍧锛岀敤浜庢帴鏀舵寲鍒扮殑ETH銆
鑾峰彇浠ュお鍧婃寲鐭胯蒋浠讹細鎮ㄩ渶瑕侀夋嫨涓绉嶄互澶鍧婃寲鐭胯蒋浠讹紝渚嬪侰laymore銆丳hoenix鎴朑miner銆傝繖浜涜蒋浠跺皢浼氬府鍔╂偍璁$畻浠ュお鍧婂搱甯岀巼锛屽苟灏嗗叾鍙戦佺粰浠ュお鍧婄綉缁溿
杩炴帴浠ュお鍧婄綉缁滐細鍦ㄥ惎鍔ㄤ互澶鍧婃寲鐭胯蒋浠朵箣鍓嶏紝鎮ㄩ渶瑕佸皢鍏惰繛鎺ュ埌浠ュお鍧婄綉缁溿傚傛灉鎮ㄦe湪浣跨敤浠ュお鍧婁富缃戯紝璇峰皢浠ュお鍧婃寲鐭胯蒋浠惰繛鎺ュ埌浠ュお鍧婁富缃戣妭鐐广
閰嶇疆浠ュお鍧婃寲鐭胯蒋浠讹細鎮ㄩ渶瑕佽剧疆浠ュお鍧婃寲鐭胯蒋浠朵互渚胯╁叾鐭ラ亾鎮ㄧ殑浠ュお鍧婂湴鍧锛屼互渚垮皢鎸栧埌鐨凟TH鍙戦佸埌璇ュ湴鍧銆傛偍杩橀渶瑕侀夋嫨瑕佷娇鐢ㄧ殑鎸栫熆姹犳垨鑰呬娇鐢ㄧ嫭绔嬫寲鐭匡紝杩欏彇鍐充簬鎮ㄧ殑鍋忓ソ銆
寮濮嬫寲鐭匡細涓鏃︽偍宸茬粡瀹屾垚涓婅堪姝ラわ紝鎮ㄥ彲浠ュ紑濮嬫寲鐭夸簡銆傛偍鐨勪互澶鍧婃寲鐭胯蒋浠跺皢浼氬紑濮嬭$畻浠ュお鍧婂搱甯岀巼锛屽苟鍚戜互澶鍧婄綉缁滃彂閫佽繖浜涗俊鎭銆
闇瑕佹敞鎰忕殑鏄锛屽湪涓嶅姞鍏ョ熆姹犵殑鎯呭喌涓嬶紝鎮ㄩ渶瑕佹嫢鏈夋洿寮哄ぇ鐨勮$畻鏈烘墠鑳芥寲鍒颁互澶鍧娿傛寲鐭块渶瑕佸ぇ閲忕殑璁$畻璧勬簮锛屽苟涓斾細瀵规偍鐨勭數鑴戜骇鐢熷緢澶х殑鍘嬪姏锛屾墍浠ユ偍闇瑕佺‘淇濇偍鐨勭數鑴戝彲浠ユ壙鍙楄繖浜涜礋鎷呫
Ⅲ etherscan.io是如何获取区块链详细数据的
etherscan.io 等区块链浏览器获取区块链数据的主要方式是通过搭建全节点,调用全节点的 RPC 方法获取所需信息。web3.eth 也采用相似策略。为了获取特定数据,开发者可通过解析全节点源代码或数据库,但此类操作技术难度较高,要求深入了解区块链原理与数据存储结构。
以太坊全节点主要有两种版本:Geth 和 Parity。Parity 拥有更强大的功能,但资源占用更大。
获取合约地址的交易数据时,需注意合约调用产生的结果通常不上链,故 Geth 全节点无法获取内部交易信息。而 Parity 提供了 trace 接口,能够通过以太坊虚拟机(EVM)回放,获取内部交易详情。etherscan.io 则通过 trace 接口获取此类数据。
ERC20 合约交易数据可通过 Parity 全节点调用 eth_getFilterLogs 方法筛选并获取,此接口详细说明可见于相关文档。
另外,谷歌 BigQuery 提供了全面的链上数据查询服务,包括比特币、分叉链、以太坊、以太经典等。但服务费用按每次搜索的数据量计费,每 TB 5 美元,成本不菲。BigQuery 并且开源了数据解析代码,用户可根据自身需求搭建自用数据库。
在区块链数据获取方面,etherscan.io 通过搭建全节点或调用高阶接口实现了数据的有效获取。同时,BigQuery 等工具提供了便捷的数据查询途径,尽管存在费用问题,但其提供的链上数据覆盖广泛,为研究与分析提供了宝贵资源。
Ⅳ 走进以太坊网络
目录
术语“以太坊节点”是指以某种方式与以太坊网络交互的程序。从简单的手机钱包应用程序到存储整个区块链副本的计算机,任何设备均可扮演以太坊节点。
所有节点都以某种方式充当通信点,但以太坊网络中的节点分为多种类型。
与比特币不同,以太坊找不到任何程序作为参考实施方案。在比特币生态系统中, 比特币核心 是主要节点软件,以太坊黄皮书则提出了一系列独立(但兼容)的程序。目前最流行的是Geth和Parity。
若要以允许独立验证区块链数据的方式连接以太坊网络,则应使用之前提到的软件运行全节点。
该软件将从其他节点下载区块,并验证其所含交易的正确性。软件还将运行调用的所有智能合约,确保接收的信息与其他节点相同。如果一切按计划运行,我们可以认为所有节点设备均存储相同的区块链副本。
全节点对于以太坊的运行至关重要。如果没有遍布全球的众多节点,网络将丧失其抗审查性与去中心化特性。
通过运行全节点,您可以直接为网络的 健康 和安全发展贡献一份力量。然而,全节点通常需要使用独立的机器完成运行和维护。对于无法(或单纯不愿)运行全节点的用户,轻节点是更好的选择。
顾名思义,轻节点均为轻量级设备,可显著降低资源和空间占用率。手机或笔记本电脑等便携式设备均可作为轻节点。然而,降低开销也要付出代价:轻节点无法完全实现自给自足。它们无法与整条区块链同步,需要全节点提供相关信息。
轻节点备受商户、服务供应商和用户的青睐。在不必使用全节点并且运行成本过高的情况下,它们广泛应用于支收付款。
挖矿节点既可以是全节点客户端,也可以是轻节点客户端。“挖矿节点”这个术语的使用方式与比特币生态系统不同,但依然应用于识别参与者。
如需参与以太坊挖矿,必须使用一些附加硬件。最常见的做法是构建 矿机 。用户通过矿机将多个GPU(图形处理器)连接起来,高速计算哈希数据。
矿工可以选择两种挖矿方案:单独挖矿或加入矿池。 单独挖矿 表示矿工独自创建区块。如果成功,则独享挖矿奖励。如果加入 矿池 ,众多矿工的哈希算力会结合起来。出块速度得以提升,但挖矿奖励将由众多矿工共享。
区块链最重要的特性之一就是“开放访问”。这表明任何人均可运行以太坊节点,并通过验证交易和区块强化网络。
与比特币相似,许多企业都提供即插即用的以太坊节点。如果只想启动并运行单一节点,这种设备无疑是最佳选择,缺点是必须为便捷性额外付费。
如前文所述,以太坊中存在众多不同类型的节点软件实施方案,例如Geth和Parity。若要运行个人节点,必须掌握所选实施方案的安装流程。
除非运行名为 归档节点 的特殊节点,否则消费级笔记本电脑足以支持以太坊全节点正常运行。不过,最好不要使用日常工作设备,因为节点会严重拖慢运行速度。
运行个人节点时,建议设备始终在线。倘若节点离线,再次联网时可能耗费大量的时间进行同步。因此,最好选择造价低廉并且易于维护的设备。您甚至可以通过Raspberry Pi运行轻节点。
随着网络即将过渡到权益证明机制,以太坊挖矿不再是最安全的长期投资方式。过渡成功后,以太坊矿工只能将挖矿设备转入其他网络或直接变卖。
鉴于过渡尚未完成,参与以太坊挖矿仍需使用特殊硬件(例如GPU或ASIC)。若要获得可观收益,则必须定制矿机并寻找电价低廉的矿场。此外,还需创建以太坊钱包并配置相应的挖矿软件。这一切都会耗费大量的时间和资金。在参与挖矿前,请认真考量自己能否应对各种挑战。(国内严禁挖矿,切勿以身试法)
ProgPow代表 程序化工作量证明 。这是以太坊挖矿算法Ethash的扩展方案,旨在提升GPU的竞争力,使其超过ASIC。
在比特币和以太坊社区,抗ASIC多年来一直是饱受争议的话题。在比特币网络中,ASIC已经成为主要的挖矿力量。
在以太坊中,ASIC并不是主流,相当一部分矿工仍然使用GPU。然而,随着越来越多的公司将以太坊ASIC矿机引入市场,这种情况很快就会改变。然而,ASIC到底存在什么问题呢?
一方面,ASIC明显削弱网络的去中心化。如果GPU矿工无法盈利,不得不停止挖矿,哈希率最终就会集中在少数矿工手中。此外,ASIC芯片的开发成本相当昂贵,坐拥开发能力与资源的公司屈指可数。这种现状有可能导致以太坊挖矿产业集中在少数公司手中,形成一定程度的行业垄断。
自2018年以来,ProgPow的集成一直饱受争议。有些人认为,它有益于以太坊生态系统的 健康 发展。另一些人则持反对态度,认为它可能导致硬分叉。随着权益证明机制的到来,ProgPoW能否应用于网络仍然有待观察。
以太坊与比特币是一样,均为开源平台。所有人都可以参与协议开发,或基于协议构建应用程序。事实上,以太坊也是区块链领域目前最大的开发者社区。
Andreas Antonopoulos和Gavin Wood出品的 Mastering Ethereum ,以及Ethereum.org推出的 开发者资源 等都是新晋开发者理想的入门之选。
智能合约的概念于20世纪90年代首次提出。其在区块链中的应用带来了一系列全新挑战。2014年由Gavin Wood提出的Solidity已经成为开发以太坊智能合约的主要编程语言,其语法与Java、JavaScript以及C++类似。
从本质上讲,使用Solidity语言,开发者可以编写在分解后可由以太坊虚拟机(EVM)解析的指令。您可以通过Solidity GitHub详细了解其工作原理。
其实,Solidity语言并非以太坊开发者的唯一选择。Vyper也是一种热门的开发语言,其语法更接近Python。