拯救智能合约漏洞，这个一夜之间成立的白帽团队如何守护近1000万美元？

概述

一名白帽黑客在某以太坊智能合约中发现了一个漏洞，导致近1000万美元的ETH处于危险之中。

一夜之间，一个救援小组成立了，将这些资金转移到安全的地方。

这次行动集合了来自世界各地的区块链安全专家和矿工的力量。

Mark Cuban：如果美SEC采用日本的加密货币监管方法可能会从FTX手中拯救美国客户:金色财经报道，马克·库班 (Mark Cuban) 认为，如果美国证券交易委员会采用日本的加密货币监管方法，美国证券交易委员会 (SEC) 可能会从FTX手中拯救美国客户。

约翰·里德·斯塔克 (John Reed Stark) 早些时候表示，加密货币和稳定币（包括央行数字货币）解决不了任何问题，而且加密行业的运作不受监管监督、消费者保护和审计等。[2023/7/5 22:18:42]

一名区块链安全研究员和一个被称为samczsun的白帽黑客，今天公布了一份详细的“事后报告”，该报告讲述了一次秘密行动，该行动解救了25000个ETH，当时价值超过960万美元。这些资金是从一个有漏洞的智能合约中解救出来的。

Asproex（阿波罗）首期月球拯救计划顺利结束累计交易额1.6亿USDT:12月12日，Asproex（阿波罗）月球拯救计划顺利结束，此次活动总共持续15天时间，报名舰队22支，总参与人数2300余人，累计交易额约为1.6亿USDT。经过激烈角逐，本次“月球拯救计划”前三名分别为第一名：姜子牙舰队，累计交易额为27584532USDT；第二名：曼达洛人舰队，累计交易额为26752148USDT；第三名为兰陵精英舰队，交易额为25786319USDT。

Asproex（阿波罗）作为一家离岸银行控股持牌交易平台，涵盖CTO(Corporate Token Offering)企业通证上市、合约跟单、ETT指数通证、数字矿业、数字银行板块并持有5国合法牌照，致力于为全球中小微企业提供数字化上市一站式服务。[2020/12/13 15:03:08]

9月15日，samczsun正在查看一些以太坊智能合约，寻找漏洞。后来，他发现了LienFinance协议的一部分存在问题：一份包含超过25000个ETH的智能合约。

美国总统特朗普：如有需要，将会使用关税手段拯救美国石油工业:美国总统特朗普表示，如有需要，将会使用关税手段拯救美国石油工业。美国总统特朗普表示，如果油价保持目前的水平，他将征收“非常可观的关税”。美国总统特朗普表示，他认为不需要在石油战中使用关税手段。（金十）[2020/4/6]

这些钱可能会被任何人拿走。

根据报告，这个智能合约包含了“销毁”功能。也就是说，任何用户都可以为自己制造大量毫无价值的代币，并用它们来交换合约中的ETH，从而获得了价值近1000万美元的缓存。看在DeFi的份上，Samczsun决定介入。

风险投资家Tim Draper：当万物复苏时，拯救世界的将是比特币:随着冠状病爆发，市场持续低迷，加密货币仍未能作为对冲这种混乱状况的避险工具。但是，风险投资家Tim Draper坚信，当万物复苏时，拯救世界的将是比特币，而不是银行和政府。据悉，Tim Draper是Skype、Tesla、SpaceX和其他初创公司的早期投资者，这些公司最终改变了世界。在最近的采访中，他还描述了比特币如何改变保险业。他称，我可以用精算师人工智能(AI)创办一家保险公司，以确定欺诈行为，并使用比特币签订智能合约，然后把这些都放到区块链上。（UToday）[2020/3/17]

由于LienFinance的团队是匿名的，因此白帽黑客会通过寻找一些潜在的关系来联系任何相关人员。AlexanderWade和以太坊安全专家ScottBigelow很快加入了这场救援行动。

实际上，有两种方法可以解决这个问题。首先，LienFinance本可以公开披露漏洞，但这将为黑客盗取资金创造一个完美的机会——就像在旁边放了一个“欢迎免费拿钱”的牌子。

其次，白帽黑客团队本可以攻击这个智能合约，然后将资金归还给它们的合法所有者。但这肯定会吸引机器人——以太坊内存池的顶端捕食者。

内存池，即“以太坊的黑暗森林”，它是一个特殊的“集结区域”，交易在被矿工接受并包含在下一区块之前会聚集在这里。这一地区经常有“领跑者”巡逻，他们是专门的机器人，寻找任何可以利用的交易以进行劫持。

基本上，领跑者可以自动复制内存池中的任何交易，用自己的地址替换它的地址，并确保这个操作首先被矿工抓取。在目前的情况下，这意味着1000万美元很容易被领先者在几秒钟内偷走。保密是非常必要的。

在区块链研究者TinaZhen的帮助下，CertiK和以太坊矿池SparkPool都参与了救援工作，并最终与LienFinance取得联系。

经过短暂的试运行后，SparkPool的程序员花了接下来的几个小时开发和测试一种专门的“白帽API”，它可以让矿工在不显示在内存池的情况下获取交易。接下来，白帽黑客团队的成员完成了生成四个连续签名交易的脚本，这些交易最终将拯救25000个ETH。

但这些交易并不是为了直接提取资金。如果按照正确的顺序执行，他们将把30000个SBT和LBT代币转移到LienFinance中，允许在最后的操作中通过销毁功能将这些代币转换回ETH。

当所有准备工作完成后，白帽黑客团队终于开始了救援行动。通过与一家挖矿公司合作，这些交易成功地避开了机器人。这是因为交易没有发送到内存池——它们直接被矿工放在了一个区块中。

报告中表示：

“在调整交易创建脚本以将交易直接提供给SparkPool的新端点之后，该是时候了。我犹豫了一会儿，但这绝对是我们能做的最大的努力了。我们可能会损失960万美元，但不会感到遗憾。在我们的交易被包含进来之前，其花费了大约15个区块，感觉就像几个小时，但最终，我们拥有了完美的交易：按序挖矿，不需要回滚。”

现在，LienFinance团队需要做的就是使用销毁函数用SBT和LBT换取ETH。在最后的交易完成后不久，Etherscan报告其成功完成，拯救了25000ETH。

至此，白帽团队“逃离了黑暗的森林”，并拯救了一笔小财富。

标签：ETHNFIFINAARKetha币能买不Infinity Protocol BSCSirius FinanceDARK价格

酷币下载热门资讯