区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > MANA > 正文

ADA:3619份以太坊代币合约存在“假充值”漏洞风险?智能合约漏洞了解一下_Puppy Token

作者:

时间:

继USDT发生“假充值”漏洞后,近日,慢雾区再曝以太坊代币“假充值”漏洞。据慢雾区今日消息,以太坊代币“假充值”漏洞目前影响广泛,相关中心化交易所、中心化钱包、代币合约等均受影响。单代币合约,不完全统计就有3619份存在“假充值”漏洞风险,其中不乏知名代币。并强调当前漏洞已发生真实攻击,督促相关项目方应尽快自查。7月9日,慢雾区曾发布以太坊代币“假充值”漏洞攻击预警。据其披露的细节,在用户进行转账时,一些代币合约的transfer函数对转账发起人(msg.sender)的余额检查用的是if判断方式,而这种温和的判断方式在transfer这类敏感函数场景中并非一种严谨的编码方式,这种不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,若交易所仅判断如TxReceiptStatus是success,则就有可能以为充币成功,产生“假充值”“假交易”。对于修复方案,慢雾区认为,已有漏洞的代币最好的方式是重发,然后新旧代币做好“映射”。此外,交易所、平台方、代币合约方均应承担起安全责任。对于交易所来说,应在判断交易事务success之外,还应二次判断充值钱包地址的balance是否准确的增加;对于平台方来说,在对接新上线的代币合约之前,应该做好严格的安全审计;对于代币合约方来说,应该严格执行最佳安全实践,并请第三方职业安全审计机构完成严谨完备的安全审计。漏洞细节发出后,截至发稿前,已有IOST官方表示其合作交易所均无“假充值”风险。回顾6月份发生的USDT“假充值”漏洞,其漏洞逻辑也并无二致,攻击者同样是利?交易所对USDT交易转账的判断逻辑缺陷,恶意构造虚假转账盗取交易所代币。智能合约本质是一段运行在区块链网络中的代码,它完成用户所赋予的业务逻辑。随着当前智能合约漏洞出现的频率愈加频繁,其安全问题也逐渐引起公众重视。据RatingToken统计数据,当前区块链世界中每日新增智能合约从4W-18W不等,而在白帽汇安全研究院的《区块链产业安全分析报告》中,由于智能合约所导致的安全问题已经造成了12.4亿美元的损失,占到了总损失的43.3%。2016年6月,以1.5亿美元成为当时最大金额ICO的TheDAO,因其智能合约出现“递归调用漏洞”遭黑客攻击,导致价值6000万美元以太币被盗。该漏洞具体来说,即在调用方使用splitDAO函数调用DAO资产时,该漏洞将允许该函数非法的再次调用自己,然后不断重复这个过程。这样的递归调用可以使得攻击者的DAO资产在被清零之前,数十次的从TheDAO的资产池里重复分离出来理应被清零的攻击者的DAO资产,这是以太坊历史上的一次大型安全丑闻,也直接导致了硬分叉。而在2018年,新的漏洞也在出现,以SMT、BEC、EDU、BAI为代表的代币智能合约漏洞都在转账逻辑中产生了“整数溢出漏洞”,该漏洞可导致代币可以无限增发或任意转账。以美链BEC为例,黑客利用以太坊ERC-20智能合约中BatchOverFlow漏洞中的数据溢出的漏洞,攻击了美链BEC的智能合约,通过转账的手段生成合约中不存在的、巨量的Token并将其转入正常账户,并且账户中收到的Token可以正常地转入交易所进行交易,与真的Token并无差别。另外,新加坡国立大学的LoiLuu等人也曾发现“交易顺序依赖漏洞”,他们指出,在智能合约执行的过程中,由于发起方对函数调用的顺序不同,可能会产生不同的输出结果,形成业务逻辑漏洞。针对当前智能合约产生的漏洞,区块风豹实验室技术负责人张文君向星球日报表示,如以危险级别为标准,当前合约漏洞可分为高危、中危、低危漏洞。具体来说,在高危漏洞上,合约代码中可能存在整数的上下溢出,攻击者可用于盗取资金、恶意转账等;在中危漏洞上,交易金额无法篡改,但在调用外部合约上存在漏洞,攻击者可用于双花攻击、恶意转账;低危漏洞中,则体现在合约撰写不规范,部署的时候导致更多费用的问题,给调用方造成经济损失,存在优化的空间。

CertiK:EFVault的代理合约ENF ETHLEV经历了一次闪电贷攻击:金色财经报道,据CertiK官方推特发布消息称,EFVault的代理合约ENF_ETHLEV经历了一次闪电贷攻击。据悉,攻击者进行了多笔利用攻击,获利528,000美元。[2023/8/9 21:34:23]

crvUSD借款率创历史新低:金色财经报道,据Curve Finance官推称,crvUSD借款率(borrow rate)创下历史新低(ATL),另据Dune Analytics数据显示,当前crvUSD抵押品总额约为1.36亿美元,债务总额约为8518.4万美元,抵押额/债务比值为0.62。[2023/7/29 16:06:13]

Alchemy Pay与Checkout.com合作扩大支付支持范围:金色财经报道,法定加密支付网关Alchemy Pay今天宣布与母公司处理商Checkout.com建立合作关系。此次合作将使Alchemy Pay的进出通道与Checkout.com的Visa和万事达通道整合在一起,其NFT Checkout也计划在“不久的将来”实现整合。[2023/7/28 16:04:40]

Bitfinex将于4月27日暂停Filecoin(FIL)充提:4月26日消息,据官方公告,由于Filecoin将进行nv19 Lighting和nv20 Thunder网络升级,Bitfinex将从UTC时间4月27日13:00(北京时间21:00)开始暂停Filecoin(FIL)充值和提现约24小时。一旦FIL充值和提现再次开放,Bitfinex将通知客户。交易不会受到影响。[2023/4/26 14:27:39]

标签:DAXADATOKENTOKDAX价格MEGADAOPuppy TokenTokenRunner

MANA热门资讯
加密货币:区块链日报 | 区块链基金年亏损近50%?;上交所发研报探讨证券+区块链;BTC交易中心转至日本_比特币的最新行情

头条 区块链和加密货币基金2018年已亏损近50%根据美国对冲基金数据研究机构报告,区块链和加密货币基金自2018年初以来已经亏损了近50%.

比特币:你在交易所里巨资买到的可能只是一张白纸_数字货币

本文来自区块律动BlockBeats,作者:0x1,星球日报经授权转发。你买的是币,还是纸?一直以来,大众都有一个猜测:如今的中心化交易所在开展Token市场的时候,是否真的持有交易规模那么大量.

INC:火币李林称Hadax必须推倒重建,节点资本、DFund宣布退出超级节点_coincheck是什么意思

文|卢晓明、吴遂心一直备受争议的Hadax,在彻底整改之后,引来了内部的不满。节点资本和DFund退出火币超级节点,不再参与Hadax任何项目投票事宜.

GSE:ofo在日本推出“骑车挖矿”,区块链+共享经济何时能到中国?_Crypto Media Network

据多家媒体报道,继今年4月份在新加坡推出“骑行挖矿”后,ofo还将在日本上线该功能,用户骑车即可挖到ofo的合作币GSE.

PIC:98%节点运行在同一个服务器?BitPICO这次盯上了BCH_PICO

本文来自:哈希派,作者:哈希派,星球日报经授权转发。今年早些时候对闪电网络实施了协议攻击的BitPICO,这一次盯上了BCH.

BCH:星球首发 | 获千万美元融资,「Ankr」想用PoUW打造更高效、安全的云计算_bch币最新消息咋涨不动

星球日报获悉,云计算领域公链Ankr于近日获得了来自九鼎JLab、DFG、丹华资本、Pantera、NEOGlobalCapital、OK资本、UpHonest、BlockVC、节点资本、Lin.