dasp7 [DASP Top 10] Unchecked Low Level Calls Unchecked Low Level Calls 가능한 낮은 수준(Low Level)의 함수 호출(Call)을 하지 말것. 반환 값을 제대로 처리하지 않으면 예기찮은 동작으로 이어질 수 있다. Solidity에서 취약점을 가진 함수는 대표적으로 'call()', 'callcode()', 'delegatecall()' 그리고 'send()' 가 있다. 이런 함수들은 flase로 설정된 부울 값을 반환하고, 코드를 계속 실행하게 한다. CODE EXAMPLE send()의 반환 값 확인을 잊었을때 발생할 수 있는 문제 function withdraw(uint256 _amount) public { require(balances[msg.sender] >= _amount); balances[msg.sender] -.. 2022. 11. 24. [DASP Top 10] Access Control Access Control 접근제어. 가장 흔하게 볼 수 있는 취약점이다. OWASP TOP10 5번이 접근제어라 카더라.. 우리가 아는 그 접근제어다. 딱히 다를건 없다. 그래서 여러가지 방법으로 공격 할 수 있다. 보통 계약이 더 이상 사용되지 않는 tx.origin을 사용하여 호출자의 유효성을 검사하고, 긴 요구 사항으로 대규모 권한 부여 논리를 처리하며, 대리 라이브러리 또는 대리 계약에서 대리자 호출을 무모하게 사용할 때 발생할 수 있다. Example 1. 스마트 계약(smart contracts)은 그것을 초기화하는 주소를 계약의 소유자로 지정한다. 이는 계약자금 회수 능력 등 특권을 부여하기 위한 일반적인 패턴이다. 2. 불행히도 초기화 기능은 이미 호출된 후에도 누구나 호출할 수 있다. .. 2022. 11. 18. [Damn Vulnerable DeFi]Challenge #10 - Free rider Receive 문제 A new marketplace of Damn Valuable NFTs has been released! There's been an initial mint of 6 NFTs, which are available for sale in the marketplace. Each one at 15 ETH. A buyer has shared with you a secret alpha: the marketplace is vulnerable and all tokens can be taken. Yet the buyer doesn't know how to do it. So it's offering a payout of 45 ETH for whoever is willing to take the NFTs out and.. 2022. 11. 17. [Damn Vulnerable DeFi]Challenge #7 - Compromised Receive 문제 While poking around a web service of one of the most popular DeFi projects in the space, you get a somewhat strange response from their server. This is a snippet: 웹 서비스인 DeFi projects를 사용하는 동안 이상한 응답값을 받았다. 하단은 그 응답값이다. HTTP/2 200 OK content-type: text/html content-language: en vary: Accept-Encoding server: cloudflare 4d 48 68 6a 4e 6a 63 34 5a 57 59 78 59 57 45 30 4e 54 5a 6b 59 54 59 31 59 .. 2022. 11. 17. 이전 1 2 다음 반응형