Início / coding / Perguntas / 78829088
Accepted
ZettaZet YT
Asked: 2024-08-03 23:36:10 +0800 CST

Contrato simples Solidity para retirada de saldo

  • 772

Escrevi um contrato de solidez para retirada do saldo do contrato. Alguém pode dizer se está funcionando. O saqueSafe deve impedir ataques de reentrada, mas não sei se é. Apenas verifique se está tudo bem e sugira como melhorá-lo. Poderia ter cometido alguns erros estúpidos.

// SPDX-License-Identifier: UNLICENSED
pragma solidity >=0.8.19;

event Response(bool success, bytes data);


interface IVault {
    function deposit() external payable;

    function withdrawSafe(address payable holder) external;

    function withdrawUnsafe(address payable holder) external;
}

interface IAttacker {
    function depositToVault(address vault) external payable;

    function attack(address vault) external;
}

contract Vault is IVault {

    bool private _entered;

     modifier nonReentrant {
        require(!_entered, "re-entrant call");
        _entered = true;
        _;
        _entered = false;
    }

    mapping(address => uint256) public balance;

    function deposit() external payable {
        balance[msg.sender] += msg.value;
    }

    function withdrawSafe(address payable holder) external nonReentrant {
        (bool success, bytes memory data) = holder.call{value: balance[msg.sender], gas: 5000}
        (abi.encodeWithSignature("withdrawSafe(string,uint256)", "call WS", 123));
        emit Response(success, data);
    }

    function withdrawUnsafe(address payable holder) external {
        (bool success, bytes memory data) = holder.call{value: balance[msg.sender], gas: 5000}
        (abi.encodeWithSignature("withdrawSafe(string,uint256)", "call WS", 123));
        emit Response(success, data);
    }
}

Além disso, se alguém souber como testar contratos no Remix sem nenhuma rede de teste ou rede principal, ou talvez recomendar outro IDE, ficarei muito feliz em ouvir sugestões.

solidity

1 respostas

  1. Best Answer

    Encontrei alguns problemas que podem ser melhorados:

    • O nonReentrantmodificador está implementado corretamente, mas também deve ser usado para proteger a lógica de atualização de saldo dentro da withdrawSafefunção.

    • O saldo deve ser atualizado antes de fazer a chamada externa para evitar reentrada. Isso garante que mesmo que a chamada externa faça uma chamada recursiva, o saldo já foi zerado, evitando reentrada.

    • A implementação atual não atualiza o saldo do titular. Isso é muito necessário para evitar a reentrada.

    • O limite de gás especificado (5000) pode não ser suficiente para o sucesso da chamada, dependendo da implementação do receptor. Você pode querer garantir que seja suficiente para o destinatário lidar com a transação.

    • Não é necessário uma simples transferência de Ether. Você pode transferir fundos diretamente usando holder.transferou holder.call{value: amount}("").

    Com as melhorias sugeridas, seu contrato ficará mais ou menos assim:

    // SPDX-License-Identifier: UNLICENSED
pragma solidity >=0.8.19;

event Response(bool success, bytes data);

interface IVault {
    function deposit() external payable;

    function withdrawSafe(address payable holder) external;

    function withdrawUnsafe(address payable holder) external;
}

interface IAttacker {
    function depositToVault(address vault) external payable;

    function attack(address vault) external;
}

contract Vault is IVault {
    bool private _entered;

    modifier nonReentrant {
        require(!_entered, "re-entrant call");
        _entered = true;
        _;
        _entered = false;
    }

    mapping(address => uint256) public balance;

    function deposit() external payable {
        balance[msg.sender] += msg.value;
    }

    function withdrawSafe(address payable holder) external nonReentrant {
        uint256 amount = balance[msg.sender];
        require(amount > 0, "Insufficient balance");

        // Update balance before making the external call
        balance[msg.sender] = 0;

        // Use call to transfer funds and handle response
        (bool success, bytes memory data) = holder.call{value: amount}("");
        require(success, "Transfer failed");

        emit Response(success, data);
    }

    function withdrawUnsafe(address payable holder) external {
        uint256 amount = balance[msg.sender];
        require(amount > 0, "Insufficient balance");

        // Update balance before making the external call
        balance[msg.sender] = 0;

        // Use call to transfer funds and handle response
        (bool success, bytes memory data) = holder.call{value: amount}("");
        require(success, "Transfer failed");

        emit Response(success, data);
    }
}

    Isto deve ajudar a garantir que a withdrawSafefunção esteja segura contra ataques de reentrada.

    • 0

relate perguntas