Уязвимость генерации случайных чисел в смарт-контрактах
Уязвимость генерации случайных чисел в смарт-контрактах

Генерация случайных чисел

Общая генерация на блокчейне случайных количества часто трудно достичь,Полагается на предсказуемые факторы, такие как хэши блоков.,Это может привести к тому, что злоумышленник сможет предсказать результат. Вот некоторые из наиболее распространенных сценариев.

1. Прогнозируйте случайные числа
Язык кода:javascript
копировать
contract GuessTheNumber {
    function guess(bool isHigher) public {
        uint256 randomNumber = block.timestamp % 100; // Временная метка используется здесь как источник случайных чисел.
        if ((randomNumber > 50) == isHigher) {
            // Если игрок угадал правильно, награда распределяется
        }
    }
}

Злоумышленник может предсказать временные метки будущих транзакций, отслеживая транзакции и временные метки в блокчейне, чтобы предсказывать одноразовые номера и всегда делать правильные предположения.

2. Альтернативное поколение случайных чисел
Язык кода:javascript
копировать
contract Auction {
    function endAuction() public {
        uint256 random = ExternalRandomService.getLastBlockHash() % bidders.length;
        // Предположим, что участники торгов представляют собой массив, и для выбора победителя торгов используется случайный метод.
    }
}

Злоумышленник может наблюдать за транзакцией контракта, которая вот-вот завершит аукцион, а затем отправить собственную транзакцию до того, как контракт вызовет getLastBlockHash(), влияя на хэш блока и, следовательно, на окончательное случайное число.

3. Опора на оракулов
Язык кода:javascript
копировать
contract Game {
    function play() public {
        uint256 random = OracleService.getRandomNumber();
        // Используйте случайные числа, предоставленные оракулами
    }
}

Если сервис оракула контролируется злоумышленником, он может предоставить ложные случайные числа и повлиять на исход игры.

Предложения

Для решения вышеперечисленных проблем можно использовать несколько стратегий:

  • 1. Используйте проверенные оракулы: выберите надежного поставщика оракулов.,Предпочтительно тот, который проверен и имеет хорошую историю.
  • 2、Многофакторная генерация случайных чисел: объединяет несколько труднопрогнозируемых факторов для генерации случайных чисел, таких как сложность блока.、Информация о заголовке блока и энтропия предоставляются вне сети.
  • 3. Временная задержка. Добавление задержки между генерацией случайных чисел и их использованием затрудняет злоумышленникам прогнозирование результатов в реальном времени.
  • 4、Офчейн Генерация случайных Номер: телевидение Офчейн Поколение случайных числа Служить, а затем отправить результаты в цепочку через оракул.
  • 5. Технология шифрования: использование технологии криптографии.,Например, гомоморфное шифрование или доказательства с нулевым разглашением.,Обеспечить генерацию случайных Конфиденциальность и безопасность процесса чисел.
boy illustration
Углубленный анализ переполнения памяти CUDA: OutOfMemoryError: CUDA не хватает памяти. Попыталась выделить 3,21 Ги Б (GPU 0; всего 8,00 Ги Б).
boy illustration
[Решено] ошибка установки conda. Среда решения: не удалось выполнить первоначальное зависание. Повторная попытка с помощью файла (графическое руководство).
boy illustration
Прочитайте нейросетевую модель Трансформера в одной статье
boy illustration
.ART Теплые зимние предложения уже открыты
boy illustration
Сравнительная таблица описания кодов ошибок Amap
boy illustration
Уведомление о последних правилах Points Mall в декабре 2022 года.
boy illustration
Даже новички могут быстро приступить к работе с легким сервером приложений.
boy illustration
Взгляд на RSAC 2024|Защита конфиденциальности в эпоху больших моделей
boy illustration
Вы используете ИИ каждый день и до сих пор не знаете, как ИИ дает обратную связь? Одна статья для понимания реализации в коде Python общих функций потерь генеративных моделей + анализ принципов расчета.
boy illustration
Используйте (внутренний) почтовый ящик для образовательных учреждений, чтобы использовать Microsoft Family Bucket (1T дискового пространства на одном диске и версию Office 365 для образовательных учреждений)
boy illustration
Руководство по началу работы с оперативным проектом (7) Практическое сочетание оперативного письма — оперативного письма на основе интеллектуальной системы вопросов и ответов службы поддержки клиентов
boy illustration
[docker] Версия сервера «Чтение 3» — создайте свою собственную программу чтения веб-текста
boy illustration
Обзор Cloud-init и этапы создания в рамках PVE
boy illustration
Корпоративные пользователи используют пакет регистрационных ресурсов для регистрации ICP для веб-сайта и активации оплаты WeChat H5 (с кодом платежного узла версии API V3)
boy illustration
Подробное объяснение таких показателей производительности с высоким уровнем параллелизма, как QPS, TPS, RT и пропускная способность.
boy illustration
Удачи в конкурсе Python Essay Challenge, станьте первым, кто испытает новую функцию сообщества [Запускать блоки кода онлайн] и выиграйте множество изысканных подарков!
boy illustration
[Техническая посадка травы] Кровавая рвота и отделка позволяют вам необычным образом ощипывать гусиные перья! Не распространяйте информацию! ! !
boy illustration
[Официальное ограниченное по времени мероприятие] Сейчас ноябрь, напишите и получите приз
boy illustration
Прочтите это в одной статье: Учебник для няни по созданию сервера Huanshou Parlu на базе CVM-сервера.
boy illustration
Cloud Native | Что такое CRD (настраиваемые определения ресурсов) в K8s?
boy illustration
Как использовать Cloudflare CDN для настройки узла (CF самостоятельно выбирает IP) Гонконг, Китай/Азия узел/сводка и рекомендации внутреннего высокоскоростного IP-сегмента
boy illustration
Дополнительные правила вознаграждения амбассадоров акции в марте 2023 г.
boy illustration
Можно ли открыть частный сервер Phantom Beast Palu одним щелчком мыши? Супер простой урок для начинающих! (Прилагается метод обновления сервера)
boy illustration
[Играйте с Phantom Beast Palu] Обновите игровой сервер Phantom Beast Pallu одним щелчком мыши
boy illustration
Maotouhu делится: последний доступный внутри страны адрес склада исходного образа Docker 2024 года (обновлено 1 декабря)
boy illustration
Кодирование Base64 в MultipartFile
boy illustration
5 точек расширения SpringBoot, супер практично!
boy illustration
Глубокое понимание сопоставления индексов Elasticsearch.
boy illustration
15 рекомендуемых платформ разработки с нулевым кодом корпоративного уровня. Всегда найдется та, которая вам понравится.
boy illustration
Аннотация EasyExcel позволяет экспортировать с сохранением двух десятичных знаков.