开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何对余额进行算术运算，以避免在近智能合约中溢出？

在近智能合约中，对余额进行算术运算时，为了避免溢出，可以采取以下几种方法：

使用安全的数据类型：在智能合约中，可以使用安全的数据类型来存储和处理余额，例如使用大整数类型（Bigint）或者固定点数类型（Fixed-point arithmetic）。这些数据类型可以处理大额余额，并且提供了溢出检查和处理机制。
使用安全的算术库：选择使用经过验证和安全的算术库来执行算术运算，以确保在计算过程中不会发生溢出。这些库通常提供了溢出检查和处理的功能，可以有效地避免溢出问题。
限制余额范围：在设计智能合约时，可以限制余额的范围，确保余额不会超出可接受的范围。例如，可以设置一个最大余额值，并在进行算术运算之前检查余额是否超过该值。如果超过，则进行相应的处理，例如拒绝交易或者进行余额调整。
使用安全的算法和协议：在进行余额算术运算时，可以选择使用安全的算法和协议，以确保计算的正确性和安全性。例如，可以使用零知识证明（Zero-knowledge proof）来验证余额的正确性，或者使用多方计算（Multi-party computation）来进行安全的算术运算。

总结起来，为了避免在近智能合约中发生溢出，可以使用安全的数据类型和算术库，限制余额范围，使用安全的算法和协议等方法来确保算术运算的正确性和安全性。

腾讯云相关产品和产品介绍链接地址：

腾讯云区块链服务（https://cloud.tencent.com/product/bcs）
腾讯云智能合约（https://cloud.tencent.com/product/tbaas-smart-contract）

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

智能合约再爆高危漏洞，两大加密货币直接变废纸！

在智能合约漏洞频出的背景下，我们利用形式化验证工具对上百个智能合约进行深入分析，又发现一个存在严重安全漏洞的智能合约——RMC代币合约！...RMC代币自去年7月进入交易所以来，代币价格最高时达到近2美元，市值300多万美元。12月，有攻击者对该合约进行攻击，并被爆出漏洞，随后，代币价格一路暴跌，跌至4月份的不到0.02美元。...而如何有效地防止此类漏洞的发生，成为了区块链智能合约开发中工作中的一个难题。安全是这场竞赛的核心赛道，对各方而言，都不容忽视。那么这类安全事件该如何防范呢？各方又该如何避免漏洞的发生呢？...现在发现的漏洞中，大多是因为直接使用普通的加减乘除符号，但却没有对可能溢出的情况作判断，这就造成了数据溢出的隐患，而解决方法也很简单，使用安全的运算库library SafeMath就可以彻底避免数据溢出的问题...项目方也应建立自己统一的安全标准，并对照安全标准严格执行，进行逐一检查。在完成代币的智能合约编写后，请专业的智能合约审计公司，对合约代码用形式化验证的方法进行审计，并由审计公司给出详细的审计报告。

4936 0

整形溢出概述

溢出原理计算机中整数变量有上下界，如果在算术运算中出现越界，即超出整数类型的最大表示范围，数字便会如表盘上的时针从12到1一般，由一个极大值变为一个极小值或直接归零，此类越界的情形在传统的软件程序中很常见...如上图所示，在智能合约中的distribute函数的功能是从owner账户向指定的地址列表传入代币，但是在对balance[owner]的账户做减法运算的时候，未使用SafeMath函数进行数值运算操作...如上上图所示，该智能合约中的mintToken函数用于增发代币，但是在增发代币的过程中对于加法操作没有使用SafeMath函数进行数值运算操作，而且也没有使用require对是否发生溢出进行检查，故这里存在溢出风险...特殊情况有时候你会发现虽然我们看到一个合约当中有整型溢出的风险，例如在transfer函数中未使用require进行溢出校验，同时也没有使用SafeMath函数进行数值运算防护的情形，但是该合约当中已经规定了...可以看到在上面的智能合约当中对于数值运算都使用了SafeMath函数进行操作，而且也使用了require对溢出校验进行防护，总体较为安全。

1.2K2 0

智能合约安全——溢出漏洞

算术溢出（arithmetic overflow）或简称为溢出（overflow）分为两种：上溢和下溢。...漏洞示例有了以上的讲解，相信大家对溢出漏洞都有一定的了解，下面我们来结合合约代码来深入了解溢出漏洞：图片漏洞分析TimeLock 合约充当了时间保险库，用户可以将代币通过 deposit 函数存入该合约并锁定...我们先来分析这两个函数内参数可影响的范围再来决定如何发起攻击：1. deposit 函数存在两个运算操作，第一个是影响用户存入的余额 balances 的，这里传入的参数是可控的所以这里会有溢出的风险，...，我们可以看到这个参数在传入之后是直接与账户对应的锁定时间 lockTime 进行运算的，如果我们操纵 _secondsToIncrease 参数让他在与 lockTime 进行运算后得到的结果产生溢出并归零的话这样我们是不是就可以在存储日期到期前将自己账户中的余额取出了呢...使用 Solidity 0.8 及以上版本来开发合约，这里还有一点：需要慎用 unchecked，因为在 unchecked 修饰的代码块里面是不会对参数进行溢出检查的；2.

6243 0

整形溢出概述

溢出原理计算机中整数变量有上下界，如果在算术运算中出现越界，即超出整数类型的最大表示范围，数字便会如表盘上的时针从12到1一般，由一个极大值变为一个极小值或直接归零，此类越界的情形在传统的软件程序中很常见...下溢增持(CVE-2018-11687) 类型描述：管理员在特定条件下，通过调用合约中有漏洞的发币函数制造下溢，从而实现对自身账户余额的任意增加。 ...是否有足够的代币，直接一个循环对owner进行减法处理，这里如果转出的代币总量大于owner账户余额，那么balance[owner]将会发生下溢，变成一个极大的值，下面在remix中演示操作一下：编译合约...code image.png 如上上图所示，该智能合约中的mintToken函数用于增发代币，但是在增发代币的过程中对于加法操作没有使用SafeMath函数进行数值运算操作，而且也没有使用require...特殊情况有时候你会发现虽然我们看到一个合约当中有整型溢出的风险，例如在transfer函数中未使用require进行溢出校验，同时也没有使用SafeMath函数进行数值运算防护的情形，但是该合约当中已经规定了

1.3K0 0

EVMPatch：自动修补以太坊智能合约

为避免此类意外的指令序列，EVM实现对代码段执行线性扫描以查找所有Push指令。...为了进行比较，还通过用SafeMath库改编的函数替换了易受攻击的算术运算，在Solidity源代码级别上手动修补了这些合约。...请注意在手动修补方法中，不会修补Osiris检测到的所有潜在漏洞，因为跳过了对攻击者无法利用的那些算术运算的检查，即仅包含在函数中的漏洞算术运算只能被攻击者调用。...当使用负值执行带符号整数加法时，当结果从负值范围移至正值范围时，加法运算自然会溢出，反之亦然。这样，EVMPATCH会为无符号算术运算修补已检查的加法，该运算将始终溢出。...但是，在实际的攻击事务中，整数溢出发生在未标记的加法运算期间。因此，这构成了Osiris的误报性问题。由于Osiris未报告易受攻击的添加，因此EVMPATCH也不会自动对其进行修补。

3442 0

本体技术视点 | 智能合约安全与漏洞分析（四）

同时，社区开发者如果在本体上进行智能合约开发时遇到其它的安全威胁，可以和我们一起探讨，一起打造更加安全的智能合约体系。本期我们将介绍在智能合约开发中更常见的一种安全漏洞及其解决方案——边界攻击。...在介绍这种攻击之前，我们需要先注意这一点：本体智能合约支持正数与负数的数学运算。...以实现 OEP-4协议的合约为例，我们取协议中的 transfer() 方法为例。...如此一来，即避免了边界攻击。对于其他的数字型数据，需要根据场景进行边界规范检查。另外，需要格外注意的是： 1. 本体区块链合约体系不存在向上溢出或向下溢出问题。...以下哪个选项不是对本体智能合约的正确描述？ A. 本体区块链合约体系不存在向上溢出或向下溢出问题 B. 本体智能合约不支持正数与负数的数学运算 C. 支持的最大值为2^255 D.

4971 0

以太坊智能合约安全漏洞(2):溢出 | 赠书活动

本文首发于哈希1024社区： https://hash1024.org/topics/97 算术运算的上溢/下溢和绝大多数编程语言一样，以太坊虚拟机（EVM）中的整数类型是有一定的范围的。...如果程序员不留意，没有对用户的输入进行校验就进行计算，将可能导致变量数值超出它们数据类型的有效范围，因此 Solidity 中的变量可被利用。...如果用户在此合约中锁定了100个以太币，并将其密钥交给攻击者，则无论 lockTime 如何，攻击者都可以使用溢出来接收以太币。...OppenZepplin 在构建和审核安全库方面做得非常出色，可以被以太坊社区使用。特别值得一提，他们的安全数学库可用于避免上溢/下溢漏洞的参考库。...无溢出的合约变成为这样：请注意，所有标准数学运算都已替换为 SafeMath 库中定义的运算。 TimeLock合约不再执行任何能够执行上溢/下溢的操作。参考文献： 1.

1.2K1 0

“以太坊智能合约编码安全问题”影响分析报告

(1) 算数溢出在Solidity智能合约代码中，在余额的检查中如果直接使用了加减乘除没做额外的判断时，就会存在算术溢出隐患 contract MyToken { mapping (address...1) 算术溢出问题在调用加减乘除时，通常的修复方式都是使用openzeppelin-safeMath，但也可以通过对不同变量的判断来限制，但很难对乘法和指数做什么限制。...铸币函数中，应对totalSupply设置上限，避免因为算术溢出等漏洞导致恶意铸币增发。...3、权限控制错误合约中不同函数应设置合理的权限检查合约中各函数是否正确使用了public、private等关键词进行可见性修饰，检查合约是否正确定义并使用了modifier对关键函数进行访问限制，避免越权导致的问题...在我们使用HaoTian对全网的公开合约进行扫描和监控时，我们发现文章中提到的几个问题涉及到的合约较少。

3442 0

以太坊合约审计 CheckList 之“以太坊智能合约编码安全问题”影响分析报告

(1) 算数溢出在Solidity智能合约代码中，在余额的检查中如果直接使用了加减乘除没做额外的判断时，就会存在算术溢出隐患 contract MyToken { mapping (address...1) 算术溢出问题在调用加减乘除时，通常的修复方式都是使用openzeppelin-safeMath，但也可以通过对不同变量的判断来限制，但很难对乘法和指数做什么限制。...铸币函数中，应对totalSupply设置上限，避免因为算术溢出等漏洞导致恶意铸币增发。...3、权限控制错误合约中不同函数应设置合理的权限检查合约中各函数是否正确使用了public、private等关键词进行可见性修饰，检查合约是否正确定义并使用了modifier对关键函数进行访问限制，避免越权导致的问题...在我们使用HaoTian对全网的公开合约进行扫描和监控时，我们发现文章中提到的几个问题涉及到的合约较少。

6793 0

【链安科技】EOS智能合约存在溢出漏洞可能

针对此漏洞，VaaS形式化验证平台对EOS区块链平台的智能合约进行了整型溢出漏洞检查和安全验证，发现基于EOS平台开发类似智能合约同样可能出现整型溢出漏洞。...针对此类问题，链安科技也提出解决方案：在智能合约部署前进行安全性和功能正确性的形式化验证，事先预防这类问题的发生；针对EOS、以太坊等平台开发安全的智能合约开发模板，规范智能合约的开发，提高合约安全性，...如合约开发者可将uint类型的数据，先转换成doule类型的数据，然后再使用EOS区块链平台提供的Math API中的double_add、double_mult等函数进行运算，最后将计算结果再转换成uint...但Math API接口没有对负数情况进行检查，如果double运算的结果为负数，再将其强制转换成uint类型时，将同时返回一个错误的较大的数值，针对此问题开发者需谨慎使用。...EOS官方做出了如下回复： image Thomas在回复中对形式化验证用于智能合约安全检测表示称赞，认为这一问题的出现主要表明智能合约开发者不够仔细。

4154 0

以太坊智能合约审计 CheckList

/post/id/106382) [2] 铸币烧币溢出问题铸币函数中，应对totalSupply设置上限，避免因为算术溢出等漏洞导致恶意铸币增发 function TokenERC20(...(https://paper.seebug.org/626/) (2) 重入漏洞智能合约中避免使用call来交易，避免重入漏洞在智能合约中提供了call、send、transfer三种方式来交易以太坊...modifier对关键函数进行访问限制，避免越权导致的问题。...这个业务场景在智能合约中也比较普遍。...在智能合约中，经常容易出现对交易顺序的依赖，如占山为王规则、或最后一个赢家规则。

9633 1

我们来教你如何跳过以太坊的坑

然而时隔三天，SMT的智能合约又爆出漏洞，SMT在火币Pro的价格下跌近20%。一时间，无论先行者还是准“韭菜”，都惨遭收割。区块链做为一款能与价值交互的产品，难免不被人们神化。...简单的说，BEC的某一段代码忘记使用safeMath方法，导致系统产生了整数溢出漏洞，利用该漏洞，黑客可以通过转账手段生成大量原本合约中不存在的代币，并将这些“无中生有”的代币在市场进行抛售。...在这两起事件之后 PeckShield 团队利用自动化系统扫描以太坊智能合约并对它们进行分析。结果发现，多个 ERC-20 智能合约都存在 BatchOverFlow 安全隐患。...这个想法很有意思，因为它引起了人们对C类语言下溢如何影响以太坊编程语言Solidity的担忧。这是一个简化了的版本： ?...但如果这样的数组被掩埋在更复杂的智能合约架构之下，谁又能轻易发现呢？这样它就可以任意地对变量进行恶意篡改。解决方案，在考虑使用动态数组时，使用一个容器式的数据结构是一种不错的选择。

9406 0

弯道超车老司机戏耍智能合约——竞态条件漏洞 | 漏洞解析连载之三

想要分析黑客如何对DAO的资金探囊取物，就不得不提到竞态条件这个术语。什么是竞态条件竞态条件的官方定义是如果程序的执行顺序改变会影响结果，它就属于一个竞态条件 [3]。...在智能合约中，竞态条件漏洞被攻击者利用后，攻击者利用一个与存在漏洞合约平起平坐的外部合约竞争夺取控制权，改变该智能合约的行为。...PS：注意此处由于重入攻击造成了balances[msg.sender]溢出，强烈推荐所有数学运算都使用SafeMath进行，这个要点我们在第一期溢出漏洞中已经提到（敲黑板）。...；（3）攻击者调用攻击合约的depositEther()函数，预先向原合约预存1 ether，此时，在原合约中，攻击合约的地址有1 ether余额；（4）攻击者调用攻击合约的withdrawFunds...，导致balances[msg.sender]溢出，如果此处使用SafeMath，可以通过抛出异常的方式避免重入攻击；最终的结果是攻击者只使用了1 ether，就从原合约中取出了所有的ether。

5793 0

【链安科技】四个Token逻辑漏洞

在继智能合约漏洞溢出问题引发了一系列损失过后，5月24号，有安全团队再次爆出漏洞溢出的问题(CVE-2018–11397, CVE-2018–11398)，账户余额可以被任何人任意转出。...根据某相关安全公司风险预警平台显示，对该类问题进行监控，果不其然，发现了这个问题，更可怕的是，该监控系统显示，已经部署的四份合约存在相同的问题，并且四份合约的实现几乎一模一样。...以下为问题合约的地址通过sha3(address)计算出的哈希结果：问题合约代码中显示，在transferFrom函数中，由于缺少了对allowed的校验，任何账户都可以对某一账户上的余额随意进行转账...，黑客就可以利用这个漏洞将他人账户上的余额转入自己的账户中，从而获益。...但可以通过规避溢出漏洞的方式来规避该类问题：转账之前对allowed进行校验。使用safeMath等安全的方式进行运算。本文转载自《四个Token逻辑漏洞》，版权属于原作者，已获得授权转载。

4723 0

区块链安全技术总结

在实际测试中也是按照这几类进行的划分，下面我会针对这几类常见的区块链应用说明其使用过程中存在的风险，如何避免风险，以及一些实际操作过程中的案例。...这是一个DAPP和以太坊地址绑定的过程），sign是对以太坊地址的签名，服务器处理请求时如果未对请求中的sign进行安全校验，那么M ITM手段可以伪造以太坊地址进行恶意绑定，同时如果未对溢出进行防御，...0x05区块链中坚力量-智能合约智能合约（Smart contract）：以信息化方式传播、验证或执行合同的计算机协议。...但从审计方向上讲大方向上是对合约中危险函数的使用，加密的生成和数据传递等方面进行安全审计。下面给出一些智能合约审计过程常关注的问题 1....当合约币中存在恶意代码，直接对合约A的运行逻辑造成危害。修复：每一个外部调用都会有潜在的安全威胁，尽可能的从你的智能合约内移除外部调用。

2K4 1

【链安】竞态条件漏洞分析及详细修复建议

在智能合约中，竞态条件漏洞被攻击者利用后，攻击者利用一个与存在漏洞合约平起平坐的外部合约竞争夺取控制权，改变该智能合约的行为。...以太坊智能合约的特点之一是能够调用和利用其它外部合约的代码，调用外部合约主要存在的危险就是外部合约可以接管控制流，并对调用函数不期望的数据进行更改。...PS:注意此处由于重入攻击造成了balances[msg.sender]溢出，强烈推荐所有数学运算都使用SafeMath进行，这个要点我们在第一期溢出漏洞中已经提到（敲黑板）。...[msg.sender]中减去所有提取的ether，导致balances[msg.sender]溢出，如果此处使用SafeMath，可以通过抛出异常的方式避免重入攻击。...；综合运用gas限制以及披露方案，保障交易信息在合理的环节以合理的形式呈现。

1.1K2 0

美链BEC合约漏洞技术分析

合约漏洞分析我们先来看看BEC智能合约的代码， BEC在合约中加入一个批量转账的函数，它的实现如下： function batchTransfer(address[] _receivers, uint256...，对msg.sender的余额进行减操作，对每一个对每一个传入的地址进行加操作，以实现BEC的转移。...，参数_receivers数组的大小为2，相乘之后刚好可超过uint256所能表示的整数大小上限，引发溢出问题amount实际的值为0，后面的转账操作实际上msg.sender的余额减0，而对两个账号进行了加...实际上对于这种整数溢出漏洞，最简单的方法是采用 SafeMath 数学计算库来避免。...有趣的是BEC智能合约代码中，其实其他的都使用了SafeMath，而关键的uint256 amount = uint256(cnt) * _value却没有使用。心痛程序员，也心痛韭菜。

4493 0

Solidity 十大常见安全问题

在2018年，我们（CheckMarx）曾对智能合约安全状况进行过初步研究，重点是Solidity[1]编写的智能合约。...当时，我们根据公开的合约源代码（译者注：本文称之为已扫描合约，本文出现的 x% 是以此为基数）编写了最常见的10 个智能合约安全问题。两年过去了该更新研究并评估智能合约安全性发展的如何了。 0....受该问题影响的智能合约数量增长了近30％。大家都知道，以太坊上的运算是需要付费的。因此，减少完成操作所需的计算，不仅仅是优化问题（效率），还涉及到成本费用。...不正确的转账此问题在Solidity十大安全问题榜单中从第六位下降到第八位，目前影响不到1％的智能合约。在合约之间进行以太币转账有多种方法。...请记住，智能合约在设计上是不可变的，这意味着一旦创建，就无法修补源代码。这对安全性构成了巨大挑战，开发人员应利用可用的安全测试工具来确保在部署之前对源代码进行了充分的测试和审核。

1.2K3 0

智能合约审计指南

你可以通过多种方式测试你的智能合约代码，包括：在沙盒环境中测试（如 Remix）在测试网（如 Rinkeby）上进行测试专门为测试目的设计的私有区块链网络（如 Ganache）第 5 部分：基本安全考虑...最常见的漏洞是：可重入：这是指恶意合约可以多次调用另一个合约，耗尽受害者合约的资源。整数溢出/下溢：这是一个算术运算的结果，其数值超出了预期范围。这可以被利用来发送比预期多或少的 ETH。...因此，在部署之前，对你的代码进行双重检查和三重检查是至关重要的。一个可能导致误用智能合约的常见错误是混淆了 transfer 和 send 功能。这两个函数看起来很相似，但它们实际上作用不同。...为了避免这种情况，你可以使用一个像 SafeMath 这样的库（0.8 之后 Solidity 内置了 SafeMath），它可以帮助你安全地进行整数运算。...第 13 部分：用于检测漏洞的自动工具随着智能合约的普及，对能够扫描这些合约漏洞的自动化工具的需求也在不断增加。

1.2K2 0

智能合约中常见的漏洞总结复现#技术创作101训练营#

还没有解决此问题，所以只能由各个合约自行完成整型溢出的判断在任何时候，都不要在代码中直接使用 +、-、*、/ 来进行数学运算，而应使用 SafeMath 库在 SafeMath 库中每个函数开头都用...语句进行了判断，对所有函数都进行了防溢出判断，可以有效地杜绝整型溢出问题重入漏洞漏洞分析以太坊智能合约的特点之一是能够调用其他外部合约的代码，然而这些外部合约可能被攻击者劫持，迫使合约通过回退函数进一步执行代码...但是有个问题是他没有先对用户的代币余额进行清零，而智能合约进行转账的时候会调用收款方 fallback 函数合约可以有一个未命名的函数 —— Fallback 函数。...Attacker 合约的 sendMoney 函数，给 victim 转一个以太币调用 Attacker 的 reentry 函数，进行攻击，然后看一下余额，发现原本在 victim 中的以太币全都到了...= 应该是 == 的，这样结果反而是除合约所有者之外的所有人都可以更改了，实际上韩国有个区块链项目 ICON(ICX) 的智能合约就出现过这个问题漏洞防范必须对由于表征权限的变量和表示进行严格的控制

2.8K84 66

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭