10.08.2025 –, TR311
重入陷阱:破解智能合約不變性迷思
作為區塊鏈應用的基石,智能合約承載著去中心化系統的安全與邏輯信任。然而,一種看似早已解決的問題——重入攻擊(Reentrancy Attack),卻至今仍不斷重演。
這類攻擊並非罕見漏洞,而是源自於合約內部狀態更新與外部呼叫順序錯置所引發的結構性風險。一旦被利用,可能導致資產重複提領、邏輯錯亂,甚至引發整體系統崩潰。
區塊鏈上的資安攻擊猶如隱形殺手,潛伏於看似合理的操作中。一旦觸發,後果往往是不可逆的。若沿用傳統的防禦方式,多半僅是頭痛醫頭、腳痛醫腳,無法根除漏洞的本質。
本次演講將從攻擊實例與架構失誤出發,深入剖析一個關鍵事實:
「重入攻擊的根源不在於單一邏輯錯誤,而在於狀態與流程的不一致。」
將聚焦於如何從智能合約的設計層建立狀態一致性,透過不變性(Invariant)的觀念與測試方式,打造能抵禦複雜攻擊場景的合約架構。
您將深入了解:
1.重入攻擊為何致命? 它的原理是什麼?對智能合約生態系統帶來哪些系統性影響?
2.為什麼不變性至關重要? 狀態一致性如何保障交易流程的可預測性與邏輯安全?
3.如何構建具不變性的智能合約? 我們將介紹多種實戰設計模式與防禦策略,包括 CEI、FREI-PI 與測試方法論。
智能合約開發經驗者
Schwierigkeitsgrad:中階
Helen是 DeFiHackLabs 區塊鏈資安社群的營運成員之一,長期致力於推廣區塊鏈安全知識與開發者教育。
2024 年,擔任社群舉辦的「智能合約安全開發訓練營」主要籌辦成員,該訓練營獲得 Ethereum Support 支持,聚焦於提升開發者在智能合約設計階段的安全意識與實作能力。
同年,也以講者身份通過 COSCUP 議程投稿,分享《Web3 Phishing: Never-ending Growth, How to Prevent It?》,從使用者角度解析鏈上釣魚手法與預防機制。
而本次,希望能從開發者的視角切入,探討如何透過架構與邏輯設計,預防攻擊於未然,進一步強化區塊鏈應用的安全基礎。