Vulnerability

閱讀平衡問題

  • January 28, 2020

以下程式碼顯示了余額的讀取:

function WithdrawBuggy(uint256 amount) public {
  uint256 bal = balance[msg.sender];
  require(amount <= bal);
  balance[msg.sender] -= amount;
  require(msg.sender.call.value(amount)());
  if (balance[msg.sender] != bal) {
     emit BalanceDecreased(msg.sender);
  }
}

攻擊者可以利用餘額讀取嗎?

祖爾菲。

當呼叫者是智能合約時,如果它可以重新進入BuggyWithdraw並且可以更改balance[msg.sender],那麼它可能BalanceDecreased永遠不會發出。

因此,依賴該事件的鏈下服務可能不會考慮餘額已減少。

引用自:https://ethereum.stackexchange.com/questions/79387

相關問答

Solidity

智能合約中漏洞檢測的可行性

  • October 19, 2022
檢視問答
Vulnerability

EOA 賬戶中的鎖定乙太幣:虛假合約地址

  • September 23, 2022
檢視問答
Etherscan

三明治攻擊:為什麼他們在銷售時使用如此高的汽油費?

  • April 21, 2022
檢視問答
Vulnerability

同功能重入漏洞檢測

  • December 19, 2021
檢視問答
Reentrant-Attacks

檢查-效果-互動和不變數

  • November 6, 2021
檢視問答
Pancakeswap

一個解鎖的錢包持有 100% 的 <PAIR> LP

  • October 31, 2021
檢視問答