10分钟智能合约：进阶实战

权限漏洞 是智能合约中最常见且危害最大的漏洞类型之一。它指合约未能正确限制对关键函数的访问，导致未授权用户（如普通用户、攻击者）能够执行本应只有特定角色（如合约拥有者、管理员）才能执行的操作。

拒绝服务攻击（Denial of Service, DoS） 在智能合约中，指攻击者通过特定手段使合约无法正常提供服务，例如使关键函数永远失败、Gas 消耗过高无法执行、或合约状态被锁定。

跨合约重入是指攻击者利用两个或以上独立合约之间的相互调用，在单笔交易中通过回调机制重新进入原始调用者或其他相关合约的函数，从而利用尚未更新的全局状态或跨合约共享状态执行非预期操作。

跨函数重入是指攻击者通过一次外部调用，递归地重新进入同一个合约的另一个函数，利用多个函数间共享的状态尚未更新的窗口期，执行非预期的操作。

单函数重入是智能合约中最经典、最基础的一类重入攻击。它指攻击者在同一笔交易中，通过外部调用递归地重新进入同一个合约的同一个函数，导致该函数的核心逻辑被多次执行，从而窃取资产或破坏合约状态。

重入(Reentrancy)攻击是最常见的一种智能合约攻击方式,通常发生在不同合约之间交互时,利用回调机制,反复调用原合约的某些函数,打破原本的代码执行流程,造成不可预期的行为。

无论在合约开发方面深入进阶,还是从事合约安全审计工作,最重要的是积累代码经验和合约认知。学习和掌握各类常见的安全模式,可以快速积累相关经验并入门。

全局可用变量是EVM提供的特殊变量,用以获取区块链状态、交易和执行环境的重要信息,可以在智能合约中直接访问。

智能合约的生命周期，指的是它从被编写到在区块链上停止运行的完整过程。包括合约的创建，运行，终止。更常见的情况是，合约没有自毁功能，会永远存在于链上，只是不再被主动调用。

以太坊生态中有2种最常见的转账方式 - ETH->非合约交易 - Token(ERC20)->合约交易

Solidity中的低级调用指的是通过call、delegatecall、staticcall等底层函数与其他地址进行交互,而不依赖于高层抽象(如调用合约函数)。

ABI(Application Binary Interface)合约应用二进制接口,是一种与以太坊智能合约交互的标准规范,无论从外部调用合约,还是合约调用合约,都需要使用ABI规范对交互数据进行编码

EVM(Ethereum Virtua lMachine)以太坊虚拟机是 一个基于栈架构、顺序执行的以太坊智能合约运行时环境， 用于处理智能合约相关交易，同一笔交易的代码会在所有节点EVM上执行。

在以太坊区块链上有一个一个去中心化节点，节点之间通过同步通过共识算法使区块链保持同步。以太坊是基于交易的状态机，通过交易使以太坊World State状态转移。

智能合约安全方向正随着行业对安全的重视而快速发展。这一领域不仅薪资竞争力强（年薪可达6万至25万美元甚至更高），且从业者扮演着Web3生态“守护者”的关键角色。

web3项目中，合约作为区块链上运行的代码，托管所有的资金，直面各类用户。一旦合约出现漏洞，项目就会面临重大风险，因此，合约安全问题如何强调都不为过。

2024年3月， BSC链上ARK Token合约被攻击，攻击者获利348枚BNB。利用了“闪电贷+操纵价格”的攻击方式。

2016年4月，The DAO项目启动，成为历史上最大的众筹活动之一。2016年6月，黑客利用漏洞进行重入攻击，从而转移360万个以太币（当时价值6000万美元）。

智能合约（Smart Contract）是一种基于区块链技术的**自执行合约**，其条款以计算机代码形式编写，并在满足预定条件时自动执行，无需第三方介入。

本系列将深入智能合约核心特性，涉及各种安全攻击模式，在实战中掌握智能合约进阶特性和安全知识。本系列尤其适合 - 转型web3开发者 - 智能合约开发者 - 合约安全审计人员 - 币圈投资研究者