昨日,降維安全實驗室監(jiān)測到,成人娛樂系統(tǒng)spankchain支付通道(payment channel)關(guān)聯(lián)的智能合約LEDgerChannel遭到了重入攻擊,DAO損失1.2億美金的“重入漏洞” 重現(xiàn)江湖。
對此BTCMedia亞太區(qū)CTO古千峰給出兩點提示:
1.合約開發(fā)者不能信任任何用戶提供的數(shù)據(jù),包括但不限于public/external函數(shù)的入?yún)?,回調(diào)合約的地址等。
2.關(guān)鍵操作必須原子化, 譬如在以太幣/代幣轉(zhuǎn)賬成功后,對應(yīng)賬戶的余額修改必須立即執(zhí)行,假如轉(zhuǎn)賬失敗,必須通過 revert()等操作拋出異常,回滾狀態(tài)。
粵公網(wǎng)安備 44030402000745號 