追单行为是用户未确认前序交易即重复提交相同合约调用,易致重入攻击、授权覆盖等风险;需从前端禁用未验证重试、钱 包启用交易队列、合约实施防重入锁与时间戳校验、链上部署监控告警五方面综合防御。
一、追单行为的本质与链上表现
追单并非区块链原生概念,而是指用户在未确认前序交易状态时重复提交相同或高度相似的合约调用。该行为易触发重入攻击、授权覆盖或Gas竞速失败,导致资产异常变动或权限失控。
二、禁用未验证的前端重试机制
部分DApp前端在交易Pending超时后自动发起二次调用,若未校验链上状态,将造成重复授权或重复转账。需确保所有重试逻辑强制读取链上最新状态后再决策。
1、检查DApp前端代码中是否存在无条件retry函数调用,定位类似onTransactionTimeout()中直接执行submitTx()的逻辑。
2、在调用前插入状态查询:使用eth_getTransactionByHash或eth_call验证原始交易是否已上链或失败。
3、对关键操作(如approve、transferFrom)设置本地nonce锁,同一地址同一合约方法在前序交易未确认前禁止新请求。
三、启用钱 包级交易队列管理
主流Web3钱 包支持交易队列控制,可阻断用户误操作引发的链上重复提交。通过本地事务序列化与状态同步,确保每笔交互具备唯一性与时序约束。
1、在MetaMask设置中开启“Advanced”选项,勾选Show test networks与Customize transaction nonce。
2、手动设置nonce值:在发送新交易前,通过eth_getTransactionCount获取当前account nonce,并确保新交易nonce = 上一笔成功交易nonce + 1。
3、使用WalletConnect连接DApp时,在会话设置中启用Require transaction confirmation for each call,禁用批量签名模式。
四、合约端实施防重入与状态锁定
智能合约应内置防御逻辑,防止因外部调用时序混乱导致的状态错乱。即使前端或钱 包层失效,合约自身仍能拒绝非法重复调用。
1、在关键函数开头声明reentrancy lock变量,例如bool private _locked;并在进入函数时require(!_locked)。
2、执行状态更新后立即设置_lock = true,完成所有外部交互后再设_lock = false。
3、对涉及资产转移的操作,增加时间戳校验:require(block.timestamp > lastActionTime + 60, "Too soon"),强制最小间隔。
五、部署链上交易状态监控告警
通过监听用户地址的Pending交易池及已打包交易,实时识别异常高频调用模式。当检测到相同to地址、相同function selector且参数高度一致的多笔交易时,触发人工干预或自动暂停后续交互。
1、接入Etherscan API或使用Tenderly Dashboard配置自定义监控规则,筛选method_id匹配0x095ea7b3(approve)或0xa9059cbb(transfer)的连续调用。
2、设置阈值告警:同一地址在5分钟内向同一合约地址发起≥3次相同function selector调用即标记为高风险。
3、集成Slither静态分析结果,在部署前检查合约是否缺失reentrancy guard或缺少state-modifying前置校验。
