昨日,降維安全實驗室監測到,成人娛樂系統spankchain支付通道(payment channel)關聯的智能合約LEDgerChannel遭到了重入攻擊,DAO損失1.2億美金的“重入漏洞” 重現江湖。
對此BTCMedia亞太區CTO古千峰給出兩點提示:
1.合約開發者不能信任任何用戶提供的數據,包括但不限于public/external函數的入參,回調合約的地址等。
2.關鍵操作必須原子化, 譬如在以太幣/代幣轉賬成功后,對應賬戶的余額修改必須立即執行,假如轉賬失敗,必須通過 revert()等操作拋出異常,回滾狀態。
粵公網安備 44030402000745號 