区块见闻 区块见闻
Ctrl+D收藏区块见闻

RAN:慢雾发布以太坊代币「假充值」漏洞细节披露及修复方案_中心化交易所

作者:

时间:

链闻讯:

区块链安全公司慢雾科技发布预警,称部分交易所及中心化钱包遭受以太坊代币「假充值」漏洞攻击之后,7月10日表示已通知了大部分交易所和中心化钱包确认漏洞细节。该公司称,此漏洞影响面很大,将在7月11日公布详细漏洞分析报告,以下为漏洞分析详细内容:

漏洞分析报告来自慢雾区公众号

披露时间线

以太坊代币「假充值」漏洞影响面非常之广,影响对象至少包括:相关中心化交易所、中心化钱包、代币合约等。单代币合约,我们的不完全统计就有3619份存在「假充值」漏洞风险,其中不乏知名代币。相关项目方应尽快自查。由于这不仅仅是一个漏洞那么简单,这已经是真实在发生的攻击!出于影响,我们采取了负责任的披露过程,这次攻击事件的披露前后相关时间线大致如下:

2018/6/28慢雾区情报,USDT「假充值」漏洞攻击事件披露

慢雾创始人通过其推特向跨链DID .bit成功申领slowmist.bit:9月14日消息,慢雾创始人通过其推特向跨链 DID .bit 申领了保留账户 slowmist.bit。据悉,.bit 通过引用第三方数据源保留的账户,在规定时间内成功发起申领就可以按注册费获得该账户。

此前报道,8月15日,跨链DID .bit宣布完成1300万美元A轮融资,CMB International领投,HashKey Capita、QingSong Fund、GSR Ventures、GGV Capital、SNZ 与 SevenX 参投。[2022/9/14 13:29:33]

2018/7/1慢雾安全团队开始分析知名公链是否存在类似问题

2018/7/7慢雾安全团队捕获并确认以太坊相关代币「假充值」漏洞攻击事件

2018/7/8慢雾安全团队分析此次影响可能会大于USDT「假充值」漏洞攻击事件,并迅速通知相关客户及慢雾区伙伴

动态 | 慢雾:2020年加密货币勒索蠕虫已勒索到 8 笔比特币:慢雾科技反(AML)系统监测:世界最早的知名加密货币勒索蠕虫 WannaCry 还在网络空间中苟延残喘,通过对其三个传播版本的行为分析,其中两个最后一次勒索收到的比特币分别是 2019-04-22 0.0584 枚,2019-09-01 0.03011781 枚,且 2019 年仅发生一次,另外一个 2020 还在活跃,2020 开始已经勒索收到 8 笔比特币支付,但额度都很低 0.0001-0.0002 枚之间。这三个传播版本第一次发生的比特币收益都是在 2017-05-12,总收益比特币 54.43334953 枚。虽然收益很少,但 WannaCry 可以被认为是加密货币历史上勒索作恶的鼻主蠕虫,其传播核心是 2017-04-13 NSA 方程式组织被 ShdowBrokers(影子经纪人) 泄露第三批网络军火里的“永恒之蓝”(EternalBlue)漏洞,其成功的全球影响力且匿名性为之后的一系列勒索蠕虫(如 GandCrab)带来了巨大促进。[2020/2/23]

2018/7/9慢雾区对外发出第一次预警

动态 | 慢雾区:警惕假冒门罗币分叉的 Monero Rings:据慢雾区消息,需警惕假冒门罗币分叉的 Monero Rings(monero-rings.org),其钱包存在明显的恶意行为,通过空投诱导门罗币持有者在其钱包(myxrmwallet.com)输入助记词或相关私钥,并偷偷上传,以此完成盗币目的。整个攻击的准备工作至少实施了一个月,各方面都做了精心设计,容易被误认为是一个计划长期运营的门罗分叉币,但实际上却是个钓鱼陷阱。慢雾区提醒用户,私钥即身份,需谨慎对待自己的私钥。[2019/3/1]

2018/7/10慢雾安全团队把细节同步给至少10家区块链生态安全同行

2018/7/11细节报告正式公开

漏洞细节

以太坊代币交易回执中status字段是0x1(true)还是0x0(false),取决于交易事务执行过程中是否抛出了异常。当用户调用代币合约的transfer函数进行转账时,如果transfer函数正常运行未抛出异常,该交易的status即是0x1(true)。

动态 | 慢雾预警:高清视频会议系统Zoom存在高危漏洞:据慢雾区消息,知名高清视频会议系统 Zoom 被披露出现高危漏洞。该漏洞利用过程及漏洞概念验证代码(PoC),攻击者可以在同网段或远程,通过构造恶意 UDP 数据包,针对使用 Zoom 桌面版本(包括 MacOS、Linux、Windows)的用户进行远程控制等攻击。慢雾安全团队注意到数字货币相关项目方流行使用 Zoom 来进行远程视频会议,Zoom 官方已经发布新版本修复了这个漏洞,请注意及时更新。[2018/12/3]

如图代码,某些代币合约的transfer函数对转账发起人(msg.sender)的余额检查用的是if判断方式,当balances<_value时进入else逻辑部分并returnfalse,最终没有抛出异常,我们认为仅if/else这种温和的判断方式在transfer这类敏感函数场景中是一种不严谨的编码方式。而大多数代币合约的transfer函数会采用require/assert方式,如图:

动态 | 慢雾区预警: ETH 存在恶意消耗 Gas 攻击:根据慢雾区情报,慢雾安全团队在 Twitter 上关注到以太坊漏洞问题,通过深入分析发现:如果用户在交易所提币或者通过钱包转账的时候,若没有设置 GasLimit 上限,当接收地址为合约地址的话将会导致恶意 Gas 消耗,慢雾安全团队第一时间通知了服务的交易所和钱包用户并提供了情报和解决方案:

(1)用户提币的时候判断是否是合约地址,如果是合约地址则不允许提币。

(2)转账的时候设置 GasLimit 上限,此处上限需要根据交易所实际业务场景设置如:6 万? - 10 万(推荐值 ETH: 90000 token: 150000)

投资有风险,入市须谨慎。

本资讯不作为投资理财建议。[2018/11/14]

当不满足条件时会直接抛出异常,中断合约后续指令的执行,或者也可以使用EIP20推荐的if/elserevert/throw函数组合机制来显现抛出异常,如图:

我们很难要求所有程序员都能写出最佳安全实践的代码,这种不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,如果交易所仅判断如TxReceiptStatus是success就以为充币成功,就可能存在「假充值」漏洞。如图:

参考示例TX:

https://etherscan.io/tx/0x9fbeeba6c7c20f81938d124af79d27ea8e8566b5e937578ac25fb6c68049f92e

修复方案

除了判断交易事务success之外,还应二次判断充值钱包地址的balance是否准确的增加。其实这个二次判断可以通过Event事件日志来进行,很多中心化交易所、钱包等服务平台会通过Event事件日志来获取转账额度,以此判断转账的准确性。但这里就需要特别注意合约作恶情况,因为Event是可以任意编写的,不是强制默认不可篡改的选项:

emitTransfer(from,to,value);//value等参数可以任意定义

作为平台方,在对接新上线的代币合约之前,应该做好严格的安全审计,这种安全审计必须强制代币合约方执行最佳安全实践。

作为代币合约方,在编码上,应该严格执行最佳安全实践,并请第三方职业安全审计机构完成严谨完备的安全审计。

后记Q&A

Q:为什么我们采取这种披露方式?

A:本质是与攻击者赛跑,但是这个生态太大,我们的力量不可能覆盖全面,只能尽我们所能去覆盖,比如我们第一时间通知了我们的客户,然后是慢雾区伙伴的客户,再然后是关注这个生态的安全同行的客户,最终不得不披露出细节。

Q:为什么说披露的不仅仅是漏洞,而是攻击?

A:其实,以我们的风格,我们一般情况下是不会单纯去提漏洞,漏洞这东西,对我们来说太普通,拿漏洞来高调运作不是个好方式。而攻击不一样,攻击是已经发生的,我们必须与攻击者赛跑。披露是一门艺术,没什么是完美的,我们只能尽力做到最好,让这个生态有安全感。

Q:至少3619份存在「假充值」漏洞风险,这些代币该怎么办?

A:很纠结,一般来说,这些代币最好的方式是重发,然后新旧代币做好「映射」。因为这类代币如果不这样做,会像个「定时炸弹」,你不可能期望所有中心化交易所、中心化钱包等平台方都能做好安全对接,一旦没做好这个「假充值」漏洞的判断,那损失的可是这些平台方。而如果平台方损失严重,对整个市场来说必然也是一种损失。

Q:有哪些知名代币存在「假充值」漏洞?

A:我们不会做点名披露的事。

Q:有哪些交易所、钱包遭受过「假充值」漏洞的攻击?

A:恐怕没人会公开提,我们也不会点名。

Q:这些代币不重发是否可以?

A:也许可以,但不完美。不选择重发的代币要么很快是发布主网就做「映射」的,要么得做好通知所有对接该代币的平台方的持续性工作。

Q:为什么慢雾可捕获到这类攻击?

A:我们有健壮的威胁情报网络,捕获到异常时,我们默认直觉会认为这是一种攻击。

Q:除了USDT、以太坊代币存在「假充值」漏洞风险,还有其他什么链也存在?

A:暂时不做披露,但相信我们,「假充值」漏洞已经成为区块链生态里不可忽视的一种漏洞类型。这是慢雾安全团队在漏洞与攻击发现史上非常重要的一笔。

链闻ChainNews:提供每日不可或缺的区块链新闻。

原文作者:慢雾链闻编辑:Ajina版权声明:文章为作者独立观点,不代表链闻ChainNews立场。

来源链接:mp.weixin.qq.com

本文来源于非小号媒体平台:

链闻速递

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3626928.html

以太坊ETH漏洞风险安全

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

众多项目启动「道德黑客」赏金计划,EOS上半年赏金超10万美元

标签:比特币ANSRAN中心化交易所比特币市场规模分析TranscodiumVibraniums币圈去中心化交易所如何借sui币

以太坊价格今日行情热门资讯
加密货币:保卫人民币,中国需要用好三个秘密武器_CFT币

最近一个月,对于中国市场来说,是极不寻常的一个月,中国经历的挑战可以说真的是前所未有。全球市场经济的捍卫者,全球经济规则的主导者美国开始不顾姿势的对中国进行全面的围堵.

区块链:猎聘报告:仅次于电竞 区块链行业平均年薪为26.02万元_区块链工程专业张雪峰

近日,猎聘发布《2019年中国电竞行业中高端人才吸引力报告》。根据猎聘大数据显示,2018年1月-2019年4月电竞行业中高端人才平均年薪为29.02万元,远高于全行业平均年薪(20.22万元).

区块链:挖掘我这个比特币区块为什么花了二十分钟?_MIN

一图看懂 这听起来耳熟吗? 你刚做完一笔比特币交易并且非常想看到它是否会出现在下一个区块中。你预期比特币的出块时间是10分钟。查询比特币节点的记录,距离上一个区块已经过去7分钟.

IDX:指数编制_BIT

概况 币客指数跟踪对应数字货币的全球价格,频率为秒。币客首发BTC指数BKBTC-IDX,BKBTC-IDX由相同权重的十二个交易所组成,分别是bitstamp、GDAX、binance、OKe.

BTC:IEO LANUCHING_TTE

尊敬的BITKER用户:YBT将于香港时间2019年4月8日17:00开启YellowBetterToken(YBT)抢购.

ETT:虚拟货币案调查:日收数千万,被查或因竞争对手举报_Cigarette Token

吴金霖被湖南省娄底市检察院以「头目」的名义批捕的时候,买了「云金币」的人们才确定,被吴金霖组建的团队了。其内部人士透露,吴被查可能是被竞争对手举报.