ACE:区块链安全入门笔记（七）_BOO

随着越来越的人参与到区块链这个行业中来，为行业注入新活力的同时也由于相关知识的薄弱以及安全意识的匮乏，给了攻击者更多的可乘之机。面对频频爆发的安全事件，慢雾特推出区块链安全入门笔记系列，向大家介绍区块链安全相关名词，让新手们更快适应区块链危机四伏的安全攻防世界！系列回顾：区块链安全入门笔记(二)|慢雾科普区块链安全入门笔记(三)|慢雾科普区块链安全入门笔记(四)|慢雾科普区块链安全入门笔记(五)|慢雾科普区块链安全入门笔记(六)|慢雾科普hard_fail状态攻击hard_failAttack

hard_fail是什么呢？简单来说就是出现错误但是没有使用错误处理器(errorhandler)处理错误，比方说使用onerror捕获处理，如果说没有onerror捕获，就会hard_fail。EOS上的交易状态记录分为executed,soft_fail,hard_fail,delayed和expired这5种状态，通常在链上大部分人观察到的交易，都是executed的，或者delayed的，而没有失败的交易，这就导致大部分开发者误以为EOS链上没有失败的交易记录，从而忽略了对交易状态的检查。攻击者利用这个细节，针对链上游戏或交易所进行攻击，构造执行状态为hard_fail的交易，链上游戏或交易所进行假充值攻击，从而获利。该攻击手法最早由慢雾安全团队于2019年3月10日一款EOSDApp上捕获，帐号名为fortherest12的攻击者通过hard_fail状态攻击手法攻击了EOS游戏Vegastown。随后，相同攻击手法频频发生，慢雾安全团队在此提醒交易所和EOSDApp游戏开发者在处理转账交易的时候需要严格校验交易状态，确保交易执行状态为executed。详细细节可参考：EOS假充值(hard_fail状态攻击)红色预警细节披露与修复方案重放攻击ReplayAttack重放攻击(ReplayAttack)，是针对区块链上的交易信息进行重放，一般来说，区块链为了保证不可篡改和防止双花攻击的发生，会对交易进行各种验证，包括交易的时间戳，nonce，交易id等，但是随着各种去中心化交易所的兴起，在智能合约中验证用户交易的场景越来越多。这种场景一般是需要用户对某一条消息进行签名后上传给智能合约，然后在合约内部进行验签。但由于用户的签名信息是会上链的，也就是说每个人都能拿到用户的签名信息，当在合约中校验用户签名的时候，如果被签名的消息不存在随着交易次数变化的变量，如时间戳，nonce等，攻击者就可以拿着用户的签名，伪造用户发起交易，从而获利。这是一种最早出现于DApp生态初期的攻击形态，由于开发者设计的开奖随机算法存在严重缺陷，使得攻击者可利用合约漏洞重复开奖，属于开发者较为容易忽略的错误。因此，开发者们在链上进行验签操作的时候，需要对被签名消息加上各种可变因子，防止攻击者对链上签名进行重放，造成资产损失。更多详情可参考：以太坊智能合约重放攻击细节剖析重入攻击ReentrancyAttack

浙江大学蔡亮：区块链价值绝不仅仅是技术层面创新和颠覆:10月13日，在第三届数字中国建设峰会上，浙江大学区块链研究中心常务副主任蔡亮表示，区块链技术可以就构建资产互联、价值互联和信任互联，区块链价值绝不仅仅是技术层面创新和颠覆，分布式的信任机制一定会带来组织管理模式的创新。（人民网）[2020/10/14]

重入攻击(ReentrancyAttack)首次出现于以太坊，对应的真实攻击为TheDAO攻击，此次攻击还导致了原来的以太坊分叉成以太经典(ETC)和现在的以太坊(ETH)。由于项目方采用的转账模型为先给用户发送转账然后才对用户的余额状态进行修改，导致恶意用户可以构造恶意合约，在接受转账的同时再次调用项目方的转账函数。利用这样的方法，导致用户的余额状态一直没有被改变，却能一直提取项目方资金，最终导致项目方资金被耗光。慢雾安全团队在此提醒智能合约开发者在进行智能合约开发时，在处理转账等关键操作的时候，如果智能合约中存储了用户的资金状态，要先对资金状态进行修改，然后再进行实际的资金转账，避免重入攻击。假充值攻击FalseTop-up

动态 | 麦肯锡报告：区块链对零售银行的吸引力有限:6月7日讯，麦肯锡最新研究显示，零售银行（Retail Bank）在接受区块链技术的方面进展缓慢，在获得潜在收益方面面临的挑战也比投行领域更具冒险精神的同行更大。报告作者之一Matt Higginson在接受采访时表示，零售银行采用分布式账本共享系统来管理日常活动的不利因素包括：消费金融的监管环境更加严格，以及Zelle等现有替代支付服务的成功。他表示，比特币等使用区块链跟踪和验证交易的加密货币声誉不佳，也让“零售银行业感到紧张和谨慎”。 但报告同时提到，如果零售银行接受区块链技术，它将为处理汇款支付、管理监管问题（如KYC和防止欺诈)、以及帮助评估新客户或现有客户的财务风险带来好处。银行承受着削减开支的无情压力，这也可能鼓励人们更多地使用区块链。[2019/6/7]

假充值攻击(FalseTop-up)，分为针对智能合约的假充值攻击和对交易所的假充值攻击。在假充值攻击中，无论是智能合约还是交易所本身，都没有收到真实的Token，但是用户又确实得到了真实的充值记录，在这种情况下，用户就可以在没有真正充值的情况下从智能合约或交易所中用假资产或不存在的资产窃取真实资产。1.智能合约假充值攻击

声音 | 施扬：区块链公证书能实现瞬间核对 大幅提升效率:金色财经讯，近日，BTV《解码区块链》邀请了北京市中信公证处、互联网金融部部长施扬，施扬表示，有了区块链公证书，只需相关部门通过扫描公证书上的二维码，就能查到公证书上存档的内容，实现瞬间核完公证书。而传统的流程十分复杂，整体下来，这个过程少则几天，多则半个月。这之间的差距是非常大的，这也就是区块链公证书所带来的进步。[2019/5/30]

针对智能合约的假充值主要是假币的假充值，这种攻击手法多发于EOS和波场上，由于EOS上代币都是采用合约的方式进行发行的，EOS链的系统代币同样也是使用这种方式发行，同时，任何人也可以发行名为EOS的代币。只是发行的合约帐号不一样，系统代币的发行合约为"eosio.token"，而其他人发行的代币来源于其他合约帐号。当合约内没有校验EOS代币的来源合约的时候，攻击者就能通过充值攻击者自己发布的EOS代币，对合约进行假充值攻击。而波场上的假充值攻击主要是TRC10代币的假充值攻击，由于每一个TRC10都有一个特定的tokenid进行识别，当合约内没有对tokenid进行校验的时候，任何人都可以以1024个TRX发行一个TRC10代币对合约进行假充值。2.交易所假充值攻击

声音 | 三星CEO：KEA今年将建立以区块链等技术为基础的主力产业:据韩联社3月11日报道，三星首席执行官Ki-nam Kim今日（3月11日）在首尔上岩洞会馆上举办的韩国电子通讯产业振兴会（KEA）定期总会上再次当选KEA会长。他表示，KEA今年将启动物联网（IoT）家电大数据中心，建立以区块链、人工智能为基础的主力产业，加强行业间的合作，积极推进智能工厂的普及。[2019/3/11]

针对交易所的假充值攻击分为假币攻击和交易状态失败的假充值攻击。以EOS和以太坊为例。针对EOS可以使用名为EOS的假币的方式对交易所进行假充值攻击，如果交易所没有严格校验EOS的来源合约为"eosio.token"，攻击就会发生。同时，区别于EOS，由于以太坊上会保留交易失败的记录，针对ERC20Token，如果交易所没有校验交易的状态，就能通过失败的交易对交易所进行ERC20假充值。除此之外，hard_fail状态攻击也是属于假充值攻击的一种。慢雾安全团队在此建议交易所和智能合约开发者在处理转账的时候要充分校验交易的状态，如果是EOS或波场上的交易，在处理充值时还要同时校验来源合约是否是"eosio.token"或tokenid是否为指定的tokenid。更多几大币种假充值问题可参考：1、USDT假充值：USDT虚假转账安全?险分析|2345新科技研究院区块链实验室2、以太坊代币假充值：以太坊代币“假充值”漏洞细节披露及修复方案3、XRP假充值：PartialPayments-XRPLedgerDevPortal4、EOS假充值：EOS假充值(hard_fail状态攻击)红色预警细节披露与修复方案

动态 | 区块链技术应用于坦桑尼亚婴儿的分娩登记:据科技行者报道，爱尔兰医疗项目AID：Tech与荷兰PharmAccess利用区块链技术，在坦桑尼亚联合实施了婴儿的分娩登记。通过区块链数字ID，孩子母亲可以方便使用项目提供的产后支持和药物处方系统。据悉，该项目旨在资助并解决慈善部门关于捐赠款项公平分配的争议，项目为每位孕妇提供一个数字身份，用于确保她们能够获得怀孕期间所必需的叶酸等补剂。此外，相关数据会被添加至区块链当中以追踪妇女的孕期进展情况。从登记到医疗预约再到分娩，整个过程都被如实记录在区块链当中。[2018/7/26]

标签：区块链ACEFACEBOO玩区块链挣的钱合法吗GRIMACEfacedao币怎么买入卖出OKBOOMER

莱特币价格热门资讯