//tips
//smart contract
今日はとっ散らかっていた情報をパワポに統合した。やること山積み。
Python使ってbotお触りは一旦保留。
https://note.com/natto_baron/n/nc5fe180b2e2e
また、資料に載せたいcrypto業界の概要情報を探す。Duneも使うか。
エネルギーが切れたのでEthernaut Challengeでsmart contractについて学ぶ。
Contractの中身に何も記載がない時にethの受け渡しのみを発生させたい時には以前確認したようにcontract.sendTransactionが使えるかと思ったが使えないよう。
contract.sendTransaction({value:1})
空っぽだと無理なのか。fallback functionも存在しないのでどうしようもないよう。
一方で、別のattackコントラクトの中にselfdistruct関数を入れることで強引に自身のコントラクトを破壊し、中身のethをselfdistruct(引数)の引数のアドレスに送ることができる。これを送金される側は拒めないよう。_contractAdの部分に空のコントラクトを取らせれば良い。強引にお金を受け取らせる。
Function attack(address _contractAd)public{
selfdestruct(_contractAd)
}
参考:
https://ailog.site/2021/07/21/2021/0721/
次はvaultをアンロックする問題。vaultは預け入れは簡単にできるが引き出しの際にセキュリティステップを設け、いくつかの条件が満たされれば引き出せるようにしたもの。
Privateの中身を見れば良い。
web3.eth.getStorageAt(address, position [, defaultBlock] [, callback])は
web3.eth.getStorageAt(コントラクトアドレス, スロット番号)により取り出せば良い。
変数を上から順番に番号をつけた時の数字がスロット番号。変数を普通に数えればわかるのでprivate変数の内容も丸わかりとなる。
上から2番目の変数(boolもきちんと変数に数える)をweb3.eth.getStorageAt(contract.address,1,function(err,result){pwd=result})としてpwdに格納し、pwdを実行すれば16進数で中身を見れる。
16進数では分かりづらいのでこちらを治すとweb3.toAscii(pwd)で設定されている変数の中身がわかる。
もしデータを秘匿情報として扱いたい場合、ブロックチェーンに保存する前に暗号化する必要がある。
https://help.coinbase.com/en/coinbase/getting-started/other/vaults-faq
