Rockbean

根据63/64gas规则，外部调用最多只能接收调用合约中剩余gas的63/64。那些退还已使用 gas 的合约必须考虑到这 1/64 未被消耗的 gas。

大多数ERC20代币都具备`permit`功能，可通过有效签名批准支出者。但`WETH`并不支持此功能。令人意外的是，当对`WETH`调用`permit`时，该函数调用会正常执行而不报错。

通过向金库捐赠ERC20代币可以人为抬高金库份额。 攻击者可利用这一机制窃取其他用户的存款。攻击者可以通过增加分母来操纵分母，导致用户由于向下舍入而获得比预期更少的份额。

`sender`是部署者的地址，`nonce`是 `sender`发送的交易数量。如果我们能以某种方式重置 `nonce`，就可以在同一个地址部署不同的合约。

如果一个地址是合约，那么该地址存储的代码大小应该大于0，对吧？ 让我们看看如何创建一个`extcodesize`返回代码大小为0的合约。

在链下签署消息，并通过合约在执行函数前要求该签名是一种实用的技术。同一个签名可被多次用于执行某个函数。如果签名者的本意是仅批准一次交易，这可能会造成危害。

`block.timestamp`可能会被矿工操纵，但有以下限制： - 它不能比其父区块的时间戳更早 - 它不能设定为太远的未来时间

交易在被挖出之前需要一定时间。攻击者可以监视交易池并发送一笔交易，使其在原始交易之前被打包进区块。这种机制可能被滥用，从而按照攻击者的利益重新排序交易。

蜜罐是一种用于诱捕黑客的陷阱。通过结合重入攻击和隐藏恶意代码这两种漏洞利用方式，我们可以构建一个能捕获恶意用户的合约。