宇宙链 宇宙链
Ctrl+D收藏宇宙链

以太坊代币「假充值」漏洞细节披露,至少 3619 份代币存在该风险

作者:

时间:1900/1/1 0:00:00

近日,据慢雾区消息,以太坊代币「假充值」漏洞影响面非常之广,影响对象至少包括:相关中心化交易所、中心化钱包、代币合约等。

慢雾区透露,仅代币合约,据不完全统计就有3619份存在「假充值」漏洞风险,其中不乏知名代币。慢雾安全团队分析此次影响可能会大于USDT「假充值」漏洞攻击事件,由于这不仅是漏洞,而是真实发生的攻击,相关项目方应尽快自查。

对于至少3619份存在「假充值」漏洞风险的代币,慢雾区认为,一般来说最好的方式是重发,并做好新旧代币映射。因为这类代币如果不这样做,会像个「定时炸弹」,你不可能期望所有中心化交易所、中心化钱包等平台方都能做好安全对接,一旦没做好这个「假充值」漏洞的判断,那损失的可是这些平台方。而如果平台方损失严重,对整个市场来说必然也是一种损失。

今早,「慢雾区」公众号发布了以太坊代币「假充值」漏洞细节披露及修复方案,以下为披露全文:

披露时间线

以太坊未确认交易为233,922笔:金色财经消息,据OKLink数据显示,以太坊未确认交易233,922笔,当前全网算力为769.45TH/s,全网难度为10.43P,当前持币地址为67,780,842个,同比增加170,149个,24h链上交易量为1,503,306ETH,当前平均出块时间为13s。[2021/11/9 6:39:36]

以太坊代币「假充值」漏洞影响面非常之广,影响对象至少包括:相关中心化交易所、中心化钱包、代币合约等。单代币合约,我们的不完全统计就有3619份存在「假充值」漏洞风险,其中不乏知名代币。相关项目方应尽快自查。由于这不仅仅是一个漏洞那么简单,这已经是真实在发生的攻击!出于影响,我们采取了负责任的披露过程,这次攻击事件的披露前后相关时间线大致如下:

2018/6/28慢雾区情报,USDT「假充值」漏洞攻击事件披露

2018/7/1慢雾安全团队开始分析知名公链是否存在类似问题

数据:以太坊2.0创世验证者地址存款已达2,779,682枚ETH:Tokenview链上数据监测,以太坊2.0创世验证者地址截止2021年1月20日已接收86,316笔共计2,762,112枚ETH,目前占据以太坊地址富豪榜排名第3,占比整个ETH流通量的2.5%。其中68%的资金直接通过转账存入,剩余32%通过合约代码转入。Kraken、Bitcoin Suisse、0xA2ABe03F3A906dc11e05e90489946E5844374708近日表现最为活跃。[2021/1/21 16:42:42]

2018/7/7慢雾安全团队捕获并确认以太坊相关代币「假充值」漏洞攻击事件

2018/7/8慢雾安全团队分析此次影响可能会大于USDT「假充值」漏洞攻击事件,并迅速通知相关客户及慢雾区伙伴

2018/7/9慢雾区对外发出第一次预警

2018/7/10慢雾安全团队把细节同步给至少10家区块链生态安全同行

Pax Treasury在以太坊网络增发约705.7万枚BUSD:金色财经报道,Whale Alert数据显示,北京时间09月09日0:24,Pax Treasury在以太坊网络上增发7,057,439枚BUSD,增发哈希值为:0x409f827569539a37a8a79b84a91cc9bc20fc1ecb96b9f30007d28e13d073fb0a。[2020/9/9]

2018/7/11细节报告正式公开

漏洞细节

以太坊代币交易回执中status字段是0×1(true)还是0×0(false),取决于交易事务执行过程中是否抛出了异常。当用户调用代币合约的transfer函数进行转账时,如果transfer函数正常运行未抛出异常,该交易的status即是0×1(true)。

如图代码,某些代币合约的transfer函数对转账发起人(msg.sender)的余额检查用的是if判断方式,当balances<_value时进入else逻辑部分并returnfalse,最终没有抛出异常,我们认为仅if/else这种温和的判断方式在transfer这类敏感函数场景中是一种不严谨的编码方式。而大多数代币合约的transfer函数会采用require/assert方式,如图:

V神回击Adam Back?:以太坊正在崛起 历史潮流不会使最大化主义者受益:针对今早Blockstream首席执行官Adam Back?抨击以太坊和庞氏局没什么不同的推特,V神回复称,每天都在背诵陈旧的说辞,效果一天比一天差。以太坊正在崛起,PoS(proof of stake)和分片(sharding)正在崛起,rollups在这里,所有这些都通过一个大型分布式生态系统并行工作。历史的潮流不会使最大化主义者受益。[2020/8/6]

当不满足条件时会直接抛出异常,中断合约后续指令的执行,或者也可以使用EIP20推荐的if/elserevert/throw函数组合机制来显现抛出异常,如图:

我们很难要求所有程序员都能写出最佳安全实践的代码,这种不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,如果交易所仅判断如TxReceiptStatus是success就以为充币成功,就可能存在「假充值」漏洞。如图:

动态 | 以太坊未确认交易68657笔:根据etherscan.io数据显示,目前以太坊的网络未确认交易笔数为68657笔,相较之前略微缓解,但整体网络依旧较为拥堵。[2018/11/23]

参考示例TX:

https://etherscan.io/tx/0x9fbeeba6c7c20f81938d124af79d27ea8e8566b5e937578ac25fb6c68049f92e

修复方案

除了判断交易事务success之外,还应二次判断充值钱包地址的balance是否准确的增加。其实这个二次判断可以通过Event事件日志来进行,很多中心化交易所、钱包等服务平台会通过Event事件日志来获取转账额度,以此判断转账的准确性。但这里就需要特别注意合约作恶情况,因为Event是可以任意编写的,不是强制默认不可篡改的选项:

emitTransfer(from,to,value);//value等参数可以任意定义

作为平台方,在对接新上线的代币合约之前,应该做好严格的安全审计,这种安全审计必须强制代币合约方执行最佳安全实践。

作为代币合约方,在编码上,应该严格执行最佳安全实践,并请第三方职业安全审计机构完成严谨完备的安全审计。

后记Q&A

Q:为什么我们采取这种披露方式?A:本质是与攻击者赛跑,但是这个生态太大,我们的力量不可能覆盖全面,只能尽我们所能去覆盖,比如我们第一时间通知了我们的客户,然后是慢雾区伙伴的客户,再然后是关注这个生态的安全同行的客户,最终不得不披露出细节。

Q:为什么说披露的不仅仅是漏洞,而是攻击?A:其实,以我们的风格,我们一般情况下是不会单纯去提漏洞,漏洞这东西,对我们来说太普通,拿漏洞来高调运作不是个好方式。而攻击不一样,攻击是已经发生的,我们必须与攻击者赛跑。披露是一门艺术,没什么是完美的,我们只能尽力做到最好,让这个生态有安全感。

Q:至少3619份存在「假充值」漏洞风险,这些代币该怎么办?A:很纠结,一般来说,这些代币最好的方式是重发,然后新旧代币做好「映射」。因为这类代币如果不这样做,会像个「定时炸弹」,你不可能期望所有中心化交易所、中心化钱包等平台方都能做好安全对接,一旦没做好这个「假充值」漏洞的判断,那损失的可是这些平台方。而如果平台方损失严重,对整个市场来说必然也是一种损失。

Q:有哪些知名代币存在「假充值」漏洞?A:我们不会做点名披露的事。

Q:有哪些交易所、钱包遭受过「假充值」漏洞的攻击?A:恐怕没人会公开提,我们也不会点名。

Q:这些代币不重发是否可以?A:也许可以,但不完美。不选择重发的代币要么很快是发布主网就做“映射”的,要么得做好通知所有对接该代币的平台方的持续性工作。

Q:为什么慢雾可捕获到这类攻击?A:我们有健壮的威胁情报网络,捕获到异常时,我们默认直觉会认为这是一种攻击。

Q:除了USDT、以太坊代币存在「假充值」漏洞风险,还有其他什么链也存在?A:暂时不做披露,但相信我们,「假充值」漏洞已经成为区块链生态里不可忽视的一种漏洞类型。这是慢雾安全团队在漏洞与攻击发现史上非常重要的一笔。

链闻ChainNews:提供每日不可或缺的区块链新闻。

原文作者:萌大大链闻编译:YY版权声明:文章为作者独立观点,不代表链闻ChainNews立场。

来源链接:www.8btc.com

本文来源于非小号媒体平台:

链闻速递

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3626934.html

以太坊ETH风险安全漏洞

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

三家交易所在政府检查后遭黑客攻击,韩国惹众怒!

下一篇:

慢雾发布以太坊代币「假充值」漏洞细节披露及修复方案

标签:以太坊ETHTRAFER以太坊交易EETH币MTRA币SAFERMOON

莱特币最新价格热门资讯
洪蜀宁:修改中本聪的License,是BSV的不归路

作者:共享财经Neo 近日,BSV对7月份升级2G区块的代码进行了更新。 更新概括如下: 1、最大可接受的区块到达10G,但默认还是128M。2、7月24日协议升级,区块大小调整到2G,本次升级命名为Quasar.

1900/1/1 0:00:00
KKcoin季度公告(2019-04-26)

亲爱的KKcoin用户:您好!感谢您一直以来对KKcoin的支持与关注,KKcoin团队一直在努力扎实的推进项目进展,现将2019年一季度的平台运营情况通报如下:KKcoin合约交易0版上线以后运营平稳.

1900/1/1 0:00:00
IDAX开放TAM充提、交易公告

亲爱的用户:?? IDAX将上线TAM。开通TAM/BTC交易,立即前往。充值开放时间:2019年5月28日13:00(UTC8)交易开放时间:2019年5月29日13:00(UTC8)Multichain将于8月推出MultiDAO.

1900/1/1 0:00:00
人民创投:当谈到区块链安全,我们一般会谈论什么?

宇宙就是一座黑暗森林,每个文明都是带的猎人,像幽灵般潜行于林间,轻轻拨开挡路的树枝,竭力不让脚步发出一点儿声音,连呼吸都必须小心翼翼,他必须小心,因为林中到处都有与他一样潜行的猎人,如果他发现了别的生命,能做的只有一件事.

1900/1/1 0:00:00
马耳他金融服务管理局拟于明年底前实施「第五反指令」

马耳他由于实施了一系列加密货币和区块链友好的政策,获得了「区块链岛」的美誉。现在他们正在采取更多措施,希望通过加大监管技术投入,更好地保护区块链行业。根据马耳他政府透露,他们希望确保将加密货币的固有风险保持在最低水平.

1900/1/1 0:00:00
法国央行:保证金融机构远离加密货币业务

法国央行希望保证银行与其他金融机构远离加密货币业务。在三月初发布的一份报告中,法国银行建议禁止保险公司、银行与信托公司“参与加密资产活动的存款与贷款业务。”该银行还提议禁止向除“最知情的投资者”外的公众推销“加密资产”储蓄产品.

1900/1/1 0:00:00