防范重入攻击需执行“检查-生效-交互”顺序:先清零余额或更新状态,再调用外部函数;启用Solidity 0.8+溢出检查;添加reentrancy guard;禁用call.value(),改用call{value: amount}("")并前置更新状态。
一、防范重入攻击
重入攻击利用合约外部调用未完成前的状态滞后,使攻击者递归调用同一函数重复提款。核心防御逻辑是强制执行“检查-生效-交互”顺序。
1、在执行外部调用前,先将用户余额置零或更新关键状态变量。
2、使用Solidity 0.8+内置的溢出检查机制,避免因数值异常触发非预期分支。
3、对所有external和public函数添加reentrancy guard修饰符,例如OpenZeppelin的ReentrancyGuard合约。
4、禁用低级别call.value()调用,改用transfer()(已弃用)或更安全的call{value: amount}("")配合状态前置更新。
2025年主流虚拟货币的交易所:
币安官网入口:www.binance.com
币安官方app:
欧易官方app:
火币官网入口:
火币官方app:
二、阻断私钥泄露风险
私钥一旦暴露,资产控制权即完全丧失。防范重点在于杜绝任何形式的电子化存储与传输路径。
1、绝对禁止截图、复制、粘贴或通过邮件/聊天工具发送助记词与私钥。
2、仅使用硬件账户进行签名操作,确保私钥永不触网。
3、在本地离线环境中生成助记词,全程不联网,不使用在线助记词生成器。
4、将12或24个助记词按原始顺序手写于防火防潮材质上,分地存放,避免单点失效。
三、加固节点RPC接口防护
开放的RPC端口(如8545)若未加限制,可能被批量扫描并执行unlockAccount后盗转资产。
1、将默认RPC端口更改为非标端口,例如--rpcport 18545。
2、绑定监听地址至内网固定IP,例如--rpcaddr 192.168.1.100,拒绝公网直连。
3、在防火墙或云安全组中仅放行可信管理IP对RPC端口的访问请求。
4、禁用personal和admin等高危API模块,启动节点时显式指定--http.api eth,net,web3。
四、识别并拦截赠品类钓鱼攻击
诈骗者常伪造名人背书或平台活动,诱导用户在恶意前端签署授权交易或转账指令。
1、任何要求你向某地址发送ETH以换取双倍返还的行为均为骗局。
2、点击链接前核对域名真实性,警惕短链、同形字(如etherscan.co vs etherscan.com)及HTTPS缺失页面。
3、在MetaMask等账户弹窗中,仔细查看交易目标合约地址是否与官方文档公示一致。
4、对EIP-7702委托授权类交易保持高度警觉,确认调用的是经审计的知名合约而非新部署地址。
五、规避智能合约交互中的无限授权风险
与DeFi协议交互时授予无限代币支出权限(infinite approval),等于赋予合约随时清空你资产的权利。
1、使用支持限额授权的账户插件,例如Rabby或Zerion,设定精确代币数量而非选择“Max”。
2、通过Etherscan等区块浏览器查询合约地址是否已被主流审计机构标记为高风险。
3、对首次交互的新合约,先授权极小额代币(如1 USDT)测试流程,确认无异常后再追加授权。
4、定期使用Revoke.cash等工具清理已废弃的无限授权,减少潜在攻击面。
