如何在本地测试网络中演示对基于仲裁的智能合同的攻击？

Question

目前，我正在对基于仲裁的智能契约的安全和隐私漏洞进行研究.然而，到目前为止，为了演示可能的攻击，我一直在努力实现攻击向量。溢出或可重入漏洞很容易实现和利用，但是仲裁文档(https://docs.goquorum.consensys.net/en/stable/Concepts/Security/Framework/DecentralizedApplication/SmartContractsSecurity/#common-contract-vulnerabilities)中列出的其他漏洞(如时间操作)并不那么简单。此外，有关这一主题的学术文献很少。请您提供一些技巧，说明如何实现这些攻击向量，以及为此目的使用了哪些工具？到目前为止，我已经设置了使用Docker的7个节点示例，并使用Remix和Qu仲裁插件来部署智能契约。

提前谢谢你。

Answer 1

谢谢你的提问！根据文档，时间操作在专用网络上的风险要大得多，因为阻塞时间由验证器的系统时间控制。在智能合同方面，您可以在“智能合同缺陷”注册表中找到更多信息，这里可以在“掌握事件”中找到本节。根据所使用的协商一致协议，其他验证器可能会拒绝将时间与当前块拖得太远的块，但如果它是一个单一的领导人选举系统，就像RAFT一样，我认为您可以随意设置这个时间。您的设置似乎是正确的测试，虽然，所以我希望这些建议给您一些指点！