前提提要
这篇文章会介绍一种熊市的技术思路,如何让黑客给我们打工。白嫖黑客的劳动成功。技术的细节暂时不会放出。感兴趣的小伙伴可以在文末加入我们的频道。
什么是16进制
需要先为你讲清楚什么是十六进制数据。
你与任何一个合约交互都会为其输入一定的数据,合约接收到这部分数据进行处理,这个数据定义了你要和合约的哪个接口函数交互,要给这个接口函数传入什么参数等等,这些数据都会以16进制的形式进行压缩。
你打开etherscan,随意找到你曾经的一个交易记录点击进入详情,然后一直下拉,你会在最下面看到 input data,右边有一长串字符,这就是你当时与这个合约的函数交互时输入的数据转成16进制后的样子。
![[Pasted image 20220704110226.png]]
16进制交易复制之前案例
这的问题主要是两个情况导致的:
1.用户绕开官网,直接通过matemask用别人已经产生的16进制Input Data与合约直接交互。
2.合约对于mint的白名单校验存在漏洞。
这次NBA的漏洞也不要求你读懂16进制就可以直接用,NBA项目漏洞在于他不校验msg.sender的地址。所以我完全可以先找到张三的交易记录,然后把他的16进制复制粘贴到钱包里执行交易,这时候在校验白名单时用的是张三的地址,所以会校验通过,但是mint时用的是我的地址,因为是我正在和合约进行交互。文章来源:https://www.toymoban.com/news/detail-431250.html
要想这样操作,需要使用 Me文章来源地址https://www.toymoban.com/news/detail-431250.html
到了这里,关于熊市学技术-让黑客给我们打工的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
