以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

3619份以太坊代幣合約存在“假充值”漏洞風險?智能合約漏洞了解一下_KEN:BusinessmanToken

Author:

Time:1900/1/1 0:00:00

繼USDT發生“假充值”漏洞后,近日,慢霧區再曝以太坊代幣“假充值”漏洞。據慢霧區今日消息,以太坊代幣“假充值”漏洞目前影響廣泛,相關中心化交易所、中心化錢包、代幣合約等均受影響。單代幣合約,不完全統計就有3619份存在“假充值”漏洞風險,其中不乏知名代幣。并強調當前漏洞已發生真實攻擊,督促相關項目方應盡快自查。7月9日,慢霧區曾發布以太坊代幣“假充值”漏洞攻擊預警。據其披露的細節,在用戶進行轉賬時,一些代幣合約的transfer函數對轉賬發起人(msg.sender)的余額檢查用的是if判斷方式,而這種溫和的判斷方式在transfer這類敏感函數場景中并非一種嚴謹的編碼方式,這種不嚴謹的編碼方式是一種安全缺陷,這種安全缺陷可能會導致特殊場景下的安全問題。攻擊者可以利用存在該缺陷的代幣合約向中心化交易所、錢包等服務平臺發起充值操作,若交易所僅判斷如TxReceiptStatus是success,則就有可能以為充幣成功,產生“假充值”“假交易”。對于修復方案,慢霧區認為,已有漏洞的代幣最好的方式是重發,然后新舊代幣做好“映射”。此外,交易所、平臺方、代幣合約方均應承擔起安全責任。對于交易所來說,應在判斷交易事務success之外,還應二次判斷充值錢包地址的balance是否準確的增加;對于平臺方來說,在對接新上線的代幣合約之前,應該做好嚴格的安全審計;對于代幣合約方來說,應該嚴格執行最佳安全實踐,并請第三方職業安全審計機構完成嚴謹完備的安全審計。漏洞細節發出后,截至發稿前,已有IOST官方表示其合作交易所均無“假充值”風險。回顧6月份發生的USDT“假充值”漏洞,其漏洞邏輯也并無二致,攻擊者同樣是利?交易所對USDT交易轉賬的判斷邏輯缺陷,惡意構造虛假轉賬盜取交易所代幣。智能合約本質是一段運行在區塊鏈網絡中的代碼,它完成用戶所賦予的業務邏輯。隨著當前智能合約漏洞出現的頻率愈加頻繁,其安全問題也逐漸引起公眾重視。據RatingToken統計數據,當前區塊鏈世界中每日新增智能合約從4W-18W不等,而在白帽匯安全研究院的《區塊鏈產業安全分析報告》中,由于智能合約所導致的安全問題已經造成了12.4億美元的損失,占到了總損失的43.3%。2016年6月,以1.5億美元成為當時最大金額ICO的TheDAO,因其智能合約出現“遞歸調用漏洞”遭黑客攻擊,導致價值6000萬美元以太幣被盜。該漏洞具體來說,即在調用方使用splitDAO函數調用DAO資產時,該漏洞將允許該函數非法的再次調用自己,然后不斷重復這個過程。這樣的遞歸調用可以使得攻擊者的DAO資產在被清零之前,數十次的從TheDAO的資產池里重復分離出來理應被清零的攻擊者的DAO資產,這是以太坊歷史上的一次大型安全丑聞,也直接導致了硬分叉。而在2018年,新的漏洞也在出現,以SMT、BEC、EDU、BAI為代表的代幣智能合約漏洞都在轉賬邏輯中產生了“整數溢出漏洞”,該漏洞可導致代幣可以無限增發或任意轉賬。以美鏈BEC為例,黑客利用以太坊ERC-20智能合約中BatchOverFlow漏洞中的數據溢出的漏洞,攻擊了美鏈BEC的智能合約,通過轉賬的手段生成合約中不存在的、巨量的Token并將其轉入正常賬戶,并且賬戶中收到的Token可以正常地轉入交易所進行交易,與真的Token并無差別。另外,新加坡國立大學的LoiLuu等人也曾發現“交易順序依賴漏洞”,他們指出,在智能合約執行的過程中,由于發起方對函數調用的順序不同,可能會產生不同的輸出結果,形成業務邏輯漏洞。針對當前智能合約產生的漏洞,區塊風豹實驗室技術負責人張文君向星球日報表示,如以危險級別為標準,當前合約漏洞可分為高危、中危、低危漏洞。具體來說,在高危漏洞上,合約代碼中可能存在整數的上下溢出,攻擊者可用于盜取資金、惡意轉賬等;在中危漏洞上,交易金額無法篡改,但在調用外部合約上存在漏洞,攻擊者可用于雙花攻擊、惡意轉賬;低危漏洞中,則體現在合約撰寫不規范,部署的時候導致更多費用的問題,給調用方造成經濟損失,存在優化的空間。

元宇宙價值指數今日為361.85點:金色財經報道,據同伴客數據顯示,7月29日元宇宙價值指數為361.85點,較前日下跌44.84點,跌幅為11.02%。

構成元宇宙價值指數成分的上市企業或NFT平臺皆為目前在虛擬經濟領域表現出巨大市場價值和未來潛力的頭部機構,該指數能夠有效反映元宇宙虛擬經濟整體價值的發展趨勢。

注:2021年3月10日主要成份股roblox上市并產生第一個收盤價,故選取3/11日為本指數首次推出的基準日,初始值為100。[2021/7/29 1:23:04]

BTC突破36100美元關口 日內漲幅為4.1%:火幣全球站數據顯示,BTC短線上漲,突破36100美元關口,現報36100.19美元,日內漲幅達到4.1%,行情波動較大,請做好風險控制。[2021/1/14 16:06:51]

超2361萬枚EOS從Plustoken地址轉至未知地址:Whale?Alert數據顯示,北京時間6月22日16:18:13,26,316,340枚EOS從Plustoken地址轉入未知地址jnhgvbkkfdjf,按當前價格計算,價值約6713萬美元,交易哈希為:e460caa596cf344b3b7e6845448d9ccd6d5ab2d8f49f664131149896e9370c4e。[2020/6/22]

動態 | BTC24小時內訪問量為53612位居第一:據TokenClub數據顯示,目前BTC在幣熱度榜上排名第一,24小時內訪問量為53612;HT排名第二,24小時內訪問量為35298;ETH排名第三,24小時內訪問量為33948;OKB排名第四,24小時內訪問量為31650;GXC排名第五,24小時內訪問量為25436。[2019/3/21]

Tags:TOKENKENTOKTOKEBusinessmanTokenParaTokenEMI TokenStonks Token

火幣交易所
盤點 | HTC區塊鏈手機秋季公測,那些年的區塊鏈手機有哪些?_ZIP:區塊鏈運用的技術中不包括哪一項技術

據cnet報道,本周二,臺灣電子設備廠商HTC宣布,其區塊鏈手機Exodus將于第三季度正式開啟公測,并將在數月內公布項目細節及參數.

1900/1/1 0:00:00
歐足聯正式啟動區塊鏈票務系統,超級杯所有門票已成功分發_BTC:區塊鏈

本周,在愛沙尼亞首都塔林舉辦的歐足聯超級杯比賽中,歐足聯成功部署了一個全新的區塊鏈票務系統,旨在簡化比賽門票銷售流程的同時,提升票務安全性.

1900/1/1 0:00:00
美俄亥俄州區塊鏈存證法條正式生效,法律的承認或可助推技術發展_CLE:CLEAN

據Ethnews報道,上周五,美國俄亥俄州州長JohnKasich簽署SB220修正案,宣示該法案正式生效。該法案規定了通過區塊鏈技術取得的電子記錄或合同具備法律效力.

1900/1/1 0:00:00
巨頭公司紛紛入場,區塊鏈專利申請會成為下一個戰場嗎?_加密貨幣:比特幣

上周,至少有三家主要公司申請區塊鏈相關專利的消息傳出:美國銀行尋求合法保護其基于區塊鏈的系統,允許對數據進行外部驗證;英國巴克萊銀行提交了兩項與數字貨幣轉讓、區塊鏈數據存儲相關的專利申請;而支付.

1900/1/1 0:00:00
33天吸金3億,通證之王竟是"無莊資金盤"_區塊鏈:FOM

編者按:本文來自牛頓先生拆解區塊鏈,作者:牛頓先生,聯合作者:黃蓉、螃蟹,星球日報經授權轉載。“黃賭”在大多時候是一個拿不上臺面的話題,尤其是對于喊著“創造價值,賦能實體經濟”的創業者們,大家.

1900/1/1 0:00:00
上千項目被宣告死亡,ICO墓地已“幣”滿為患_COI:OIN

本文來自區塊律動BlockBeats,譯者0x5,翻譯自BloombergCryptocurrency。你聽到漫天的哀嚎了嗎?在互聯網的一個角落里,肯定又舉辦了一場為某個ICO項目所舉行的葬禮.

1900/1/1 0:00:00
ads