📢 Gate广场 #MBG任务挑战# 发帖赢大奖活动火热开启!
想要瓜分1,000枚MBG?现在就来参与,展示你的洞察与实操,成为MBG推广达人!
💰️ 本期将评选出20位优质发帖用户,每人可轻松获得50枚MBG!
如何参与:
1️⃣ 调研MBG项目
对MBG的基本面、社区治理、发展目标、代币经济模型等方面进行研究,分享你对项目的深度研究。
2️⃣ 参与并分享真实体验
参与MBG相关活动(包括CandyDrop、Launchpool或现货交易),并晒出你的参与截图、收益图或实用教程。可以是收益展示、简明易懂的新手攻略、小窍门,也可以是现货行情点位分析,内容详实优先。
3️⃣ 鼓励带新互动
如果你的帖子吸引到他人参与活动,或者有好友评论“已参与/已交易”,将大幅提升你的获奖概率!
MBG热门活动(帖文需附下列活动链接):
Gate第287期Launchpool:MBG — 质押ETH、MBG即可免费瓜分112,500 MBG,每小时领取奖励!参与攻略见公告:https://www.gate.com/announcements/article/46230
Gate CandyDrop第55期:CandyDrop x MBG — 通过首次交易、交易MBG、邀请好友注册交易即可分187,500 MBG!参与攻略见公告:https://www.gate.com/announcements
Rust智能合约DoS攻击防范实战指南
Rust智能合约养成日记:拒绝服务攻击防范
拒绝服务(DoS)攻击可能会导致智能合约在一段时间内甚至永久无法正常使用。常见原因包括:
合约逻辑中的计算复杂度问题,导致 Gas 消耗超出限制。
跨合约调用时,对外部合约执行状态的不当依赖,造成本合约被阻塞。
合约所有者私钥丢失,导致特权函数无法调用,重要系统状态无法更新。
下面通过几个具体例子来分析 DoS 攻击漏洞及其解决方案。
1. 循环遍历可被外部更改的大型数据结构
以下是一个简单的"分红"合约,存在 DoS 风险:
rust #[near_bindgen] #[derive(BorshDeserialize, BorshSerialize)] pub struct Contract { pub registered: Vec, pub accounts: UnorderedMap<accountid, balance="">, }
impl Contract { pub fn register_account(&mut self) { if self.accounts.insert(&env::predecessor_account_id(), &0).is_some() { env::panic("The account is already registered".to_string().as_bytes()); } else { self.registered.push(env::predecessor_account_id()); } log!("Registered account {}", env::predecessor_account_id()); }
}
问题在于 registered 数组大小没有限制,可被恶意用户操控变得过大,导致 distribute_token 函数执行时 Gas 消耗超出限制。
建议解决方案:
限制 registered 数组的大小。
采用"提现"模式,让用户自行提取奖励,而不是合约主动分发。
2. 跨合约状态依赖导致合约阻塞
以下是一个"竞价"合约示例:
rust #[near_bindgen] #[derive(BorshDeserialize, BorshSerialize)] pub struct Contract { pub registered: Vec, pub bid_price: UnorderedMap<accountid,balance>, pub current_leader: AccountId, pub highest_bid: u128, pub refund: bool }
impl Contract { pub fn bid(&mut self, sender_id: AccountId, amount: u128) -> PromiseOrValue { assert!(amount > self.highest_bid);
}
问题在于合约状态更新依赖外部合约调用。如果前一个最高出价者的账户已注销,后续出价者将无法更新状态。
建议解决方案:
考虑外部调用可能失败的情况,实现合理的错误处理机制。例如,将无法退回的代币暂存在合约中,后续允许用户主动提取。
3. 所有者私钥丢失
许多合约存在仅所有者可执行的特权函数。如果所有者私钥丢失,这些函数将无法调用,可能导致合约无法正常运作。
建议解决方案:
设置多个合约所有者共同管理。
采用多重签名机制来替代单一所有者控制。
实现去中心化的合约治理机制。
通过以上措施,可以有效降低智能合约中拒绝服务攻击的风险,提高合约的安全性和可靠性。