宇宙链 宇宙链
Ctrl+D收藏宇宙链

3619份以太坊代币合约存在“假充值”漏洞风险?智能合约漏洞了解一下

作者:

时间:1900/1/1 0:00:00

继USDT发生“假充值”漏洞后,近日,慢雾区再曝以太坊代币“假充值”漏洞。据慢雾区今日消息,以太坊代币“假充值”漏洞目前影响广泛,相关中心化交易所、中心化钱包、代币合约等均受影响。单代币合约,不完全统计就有3619份存在“假充值”漏洞风险,其中不乏知名代币。并强调当前漏洞已发生真实攻击,督促相关项目方应尽快自查。7月9日,慢雾区曾发布以太坊代币“假充值”漏洞攻击预警。据其披露的细节,在用户进行转账时,一些代币合约的transfer函数对转账发起人(msg.sender)的余额检查用的是if判断方式,而这种温和的判断方式在transfer这类敏感函数场景中并非一种严谨的编码方式,这种不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,若交易所仅判断如TxReceiptStatus是success,则就有可能以为充币成功,产生“假充值”“假交易”。对于修复方案,慢雾区认为,已有漏洞的代币最好的方式是重发,然后新旧代币做好“映射”。此外,交易所、平台方、代币合约方均应承担起安全责任。对于交易所来说,应在判断交易事务success之外,还应二次判断充值钱包地址的balance是否准确的增加;对于平台方来说,在对接新上线的代币合约之前,应该做好严格的安全审计;对于代币合约方来说,应该严格执行最佳安全实践,并请第三方职业安全审计机构完成严谨完备的安全审计。漏洞细节发出后,截至发稿前,已有IOST官方表示其合作交易所均无“假充值”风险。回顾6月份发生的USDT“假充值”漏洞,其漏洞逻辑也并无二致,攻击者同样是利?交易所对USDT交易转账的判断逻辑缺陷,恶意构造虚假转账盗取交易所代币。智能合约本质是一段运行在区块链网络中的代码,它完成用户所赋予的业务逻辑。随着当前智能合约漏洞出现的频率愈加频繁,其安全问题也逐渐引起公众重视。据RatingToken统计数据,当前区块链世界中每日新增智能合约从4W-18W不等,而在白帽汇安全研究院的《区块链产业安全分析报告》中,由于智能合约所导致的安全问题已经造成了12.4亿美元的损失,占到了总损失的43.3%。2016年6月,以1.5亿美元成为当时最大金额ICO的TheDAO,因其智能合约出现“递归调用漏洞”遭黑客攻击,导致价值6000万美元以太币被盗。该漏洞具体来说,即在调用方使用splitDAO函数调用DAO资产时,该漏洞将允许该函数非法的再次调用自己,然后不断重复这个过程。这样的递归调用可以使得攻击者的DAO资产在被清零之前,数十次的从TheDAO的资产池里重复分离出来理应被清零的攻击者的DAO资产,这是以太坊历史上的一次大型安全丑闻,也直接导致了硬分叉。而在2018年,新的漏洞也在出现,以SMT、BEC、EDU、BAI为代表的代币智能合约漏洞都在转账逻辑中产生了“整数溢出漏洞”,该漏洞可导致代币可以无限增发或任意转账。以美链BEC为例,黑客利用以太坊ERC-20智能合约中BatchOverFlow漏洞中的数据溢出的漏洞,攻击了美链BEC的智能合约,通过转账的手段生成合约中不存在的、巨量的Token并将其转入正常账户,并且账户中收到的Token可以正常地转入交易所进行交易,与真的Token并无差别。另外,新加坡国立大学的LoiLuu等人也曾发现“交易顺序依赖漏洞”,他们指出,在智能合约执行的过程中,由于发起方对函数调用的顺序不同,可能会产生不同的输出结果,形成业务逻辑漏洞。针对当前智能合约产生的漏洞,区块风豹实验室技术负责人张文君向星球日报表示,如以危险级别为标准,当前合约漏洞可分为高危、中危、低危漏洞。具体来说,在高危漏洞上,合约代码中可能存在整数的上下溢出,攻击者可用于盗取资金、恶意转账等;在中危漏洞上,交易金额无法篡改,但在调用外部合约上存在漏洞,攻击者可用于双花攻击、恶意转账;低危漏洞中,则体现在合约撰写不规范,部署的时候导致更多费用的问题,给调用方造成经济损失,存在优化的空间。

比特币闪电网络节点数量为16,361个:金色财经报道,1ML数据显示,当前比特币闪电网络节点为16,361个,过去30天减少0.5%;通道数量为70,125个,较一个月前减少了2%;网络容量为5,345.35BTC,月减少2%。[2023/6/19 21:45:56]

MetaMask宣布与EIP-4361兼容以支持以太坊登录,并推出“域名绑定”功能:金色财经报道,Web3钱包MetaMask在推特上表示:“MetaMask现在与EIP-4361兼容,使用以太坊登录。我们的部署还提供了‘域名绑定’功能,可以检测来自恶意URL的签名/批准。”[2023/3/24 13:23:20]

第9361号Bored Ape以500ETH的价格售出,创历史新高:8月27日消息,第9361号Bored Ape以500ETH(约合156万美元)的价格售出,创历史新高。[2021/8/27 22:40:37]

Filecoin网络目前总质押量约为9361万枚FIL:据IPFS100报道,Filfox浏览器数据显示,Filecoin网络当前区块高度为954427,全网有效算力为7.891EiB,总质押量约为9361万枚FIL,活跃矿工数为2703个,每区块奖励为24.7333FIL,近24小时产出量为351722FIL,24小时平均挖矿收益为0.0429FIL/TiB,目前FIL流通量为149651768FIL。目前有效算力排名前三的分别为:f0127595(FILPool.me)以121.99PiB暂居第一,f0123261(LDPool)以115.11PiB位居第二,f0135467(RRM-雅典娜)以106.34PiB位居第三。[2021/7/22 1:09:09]

标签:FIL以太坊DAOTOKENfil币目前多少钱一个以太坊最新价格分析Movement DAODopex Rebate Token

欧易交易所app官网下载热门资讯
巨头公司纷纷入场,区块链专利申请会成为下一个战场吗?

上周,至少有三家主要公司申请区块链相关专利的消息传出:美国银行寻求合法保护其基于区块链的系统,允许对数据进行外部验证;英国巴克莱银行提交了两项与数字货币转让、区块链数据存储相关的专利申请;而支付公司万事达卡的申请则提到了一种基于公共区.

1900/1/1 0:00:00
让AI帮你约会女友,「Project PAI」想借区块链打造新维度的AI社交

随着人工智能普及,它覆盖了人类生活的方方面面。人们想让人工智能变得更聪明,这需要更多的数据来训练人工智能。但目前,人工智能普遍存在数据收集难、收集成本高等痛点。但在区块链构建的互信的环境下,人工智能可打开的数据资源更多、更广泛.

1900/1/1 0:00:00
一文读懂平台币火爆的根源与潜在风险

本文来自链闻ChainNews,作者:MohamedFouda,编译:PerryWang,星球日报经授权转发。我觉得有必要探讨一下加密货币交易所平台币的投资价值.

1900/1/1 0:00:00
解构“Coinbase 效应”——为何Coinbase一有意,币就涨?

本文来自巴比特资讯,作者:Aditya,星球日报经授权转发。Coinbase宣布其对交易某种代币有兴趣似乎就意味着该种代币是优质加密货币,这种代币很快就会迎来一波上涨.

1900/1/1 0:00:00
星球日报 | 旧金山首个“区块链音乐节”开启售票;BM称将引入资源代币REX及新交易对SEOS/EOS?

头条 旧金山首个“区块链音乐节”开启售票旧金山首个“区块链音乐节”开启售票。该音乐节门票销售是由区块链技术支持的。此外,该音乐节计划于今年秋季推出自己的加密货币OMF.

1900/1/1 0:00:00
纽交所母公司宣布将推出数字资产平台和比特币期货

编者按:本文来自巴比特,作者:MuyaoShen,编译:Kyle,星球日报经授权发布。总部位于亚特兰大的纽约证券交易所母公司,洲际交易所(ICE)8月4日宣布,计划推出一个数字资产平台和一种比特币期货产品.

1900/1/1 0:00:00