我最近一直在玩ethernaut web3/solidity 游戏，在第 4 级上，我浪费了几分钟来了解 tx.origin 和 msg.sender 之间的区别，它们在solidity 中构建全局变量。

根据solidity文档，tx.origin 保存交易发送者的地址，msg.sender 保存消息发送者的地址。那么这到底是什么意思呢？

msg.sender：指直接调用智能合约函数的账户地址或智能合约地址。

tx.origin：指调用智能合约函数的账户地址，只有账户地址可以是tx.origin。

一张图片胜过千言万语

您可能会注意到，账户地址和智能合约地址都可以是 msg.sender 但 tx.origin 将始终是账户/钱包地址。

强烈建议始终使用 msg.sender 进行授权或检查调用智能合约的地址。并且永远不要使用 tx.origin 进行授权，因为这可能会使合约容易受到网络钓鱼攻击。

THORChain最近损失了 800 万美元，是的，由于tx.origin 的滥用，在一次攻击中损失了 800 万美元，请务必仔细检查 tx.origin 是如何在智能合约中使用的，再见👋。

使用 tx.origin 进行网络钓鱼

参考

https://medium.com/@nicolezhu/ethernaut-lvl-4-walkthrough-how-to-abuse-tx-origin-msg-sender-ef37d6751c8