SWC智能合约漏洞库

SWC ID
SWC-100/未声明函数可见性 SWC-101/整数溢出 SWC-102/使用过时的编译器 SWC-103/未锁定的pragma声明 SWC-104/未检查的调用范围值 SWC-105/无保护的以太币提款 SWC-106/无保护的SELFDESTRUCT指令 SWC-107/重入漏洞 SWC-108/未声明状态变量可见性 SWC-109/未初始化的存储指针 SWC-110/触发assert断言 SWC-111/使用过时的solidity函数 SWC-112/委托调用非可信合约 SWC-113/失败调用引发的DoS攻击 SWC-114/交易顺序依赖 SWC-115/利用tx.origin授权 SWC-116/使用区块值作为时间计量 SWC-117/签名的非唯一性 SWC-118/错误的构造函数名 SWC-119/影子状态变量 SWC-120/基于链属性的弱随机性 SWC-121/未保护签名重放攻击 SWC-122/缺乏适当的签名验证 SWC-123/违反require要求 SWC-124/写入任意存储位置 SWC-125/不正确的继承顺序 SWC-126/gas不足 SWC-127/函数类型变量任意跳转 SWC-128/利用区块gas限制的DoS攻击 SWC-129/笔误 SWC-130/使用反向控制字符 SWC-131/存在未使用的变量 SWC-132/依赖于以太币余额的逻辑 SWC-133/变长参数导致的哈希冲突 SWC-134/硬编码gas用量的消息调用 SWC-135/无效代码 SWC-136/未加密的链上私人数据
  1. 全部教程
  2. SWC智能合约漏洞库
  3. SWC智能合约漏洞库
  4. SWC-103/未锁定的pragma声明
在线工具推荐: Three.js AI纹理开发包 - YOLO合成数据生成器 - GLTF/GLB在线编辑 - 3D模型格式在线转换 - 可编程3D场景编辑器

SWC-103/未锁定的pragma声明

应使用经过全面测试的相同的编译器版本和编译标志得到的合约编译结果进行部署。锁定pragma 有助于避免使用过时的编译器版本意外地部署合约,因为该版本可能会引入会对合约系统产生负面影响的错误。

CWE漏洞分类

CWE-664:生命周期中对资源的不当控制

整改方案

锁定pragma版本,并考虑所选编译器版本的已知错误

当合约打算供其他开发人员使用时,可以允许Pragma语句浮动,例如库或EthPM包中的合约。否则,开发人员 将需要手动更新编译pragma声明以便本地编译。

参考文献

合约示例

float_pragma.sol

pragma solidity ^0.4.0;

contract PragmaNotLocked {
    uint public x = 1;
}

float_pragma.yaml

description: Floating pragma
issues:
- id: SWC-103
  count: 1
  locations:
  - bytecode_offsets: {}
    line_numbers:
      floating_pragma.sol: [1]

float_pragma_fixed.sol

pragma solidity 0.4.25;

contract PragmaFixed {
    uint public x = 1;
}

float_pragma_fixed.yaml

description: Floating pragma
issues:
- id: SWC-103
  count: 0
  locations: []

no_pragma.sol

contract PragmaNotLocked {
    uint public x = 1;
}

no_pragma.yaml

description: Floating pragma
issues:
- id: SWC-103
  count: 1
  locations:
  - bytecode_offsets: {}
    line_numbers:
      no_pragma.sol: [1]

semver_floating_pragma.sol

pragma solidity >=0.4.0 < 0.6.0;
pragma solidity >=0.4.0<0.6.0;
pragma solidity >=0.4.14 <0.6.0;
pragma solidity >0.4.13 <0.6.0;
pragma solidity 0.4.24 - 0.5.2;
pragma solidity >=0.4.24 <=0.5.3 ~0.4.20;
pragma solidity <0.4.26;
pragma solidity ~0.4.20;
pragma solidity ^0.4.14;
pragma solidity 0.4.*;
pragma solidity 0.*;
pragma solidity *;
pragma solidity 0.4;
pragma solidity 0;

contract SemVerFloatingPragma {
}

semver_floating_pragma.yaml

description: Floating pragma with semantic versioning operators allows multiple compilers to be used
issues:
  - id: SWC-103
    count: 14
    locations:
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [1]
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [2]
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [3]
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [4]
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [5]
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [6]
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [7]
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [8]
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [9]
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [10]
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [11]
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [12]
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [13]
      - bytecode_offsets: {}
        line_numbers:
          semver_floating_pragma.sol: [14]

semver_floating_pragma_fixed.sol

pragma solidity 0.4.25;
// or
pragma solidity =0.4.25;

contract SemVerFloatingPragmaFixed {
}

semver_floating_pragma_fixed.yaml

description: Floating pragma with semantic versioning operators allows multiple compilers to be used
issues:
  - id: SWC-103
    count: 0
    locations: []
在线互动课程