!webp\"data-img-size-val=\"1600,900\"\u002F\\>
隨著越來越的人參與到區塊鏈這個行業中來,為行業注入新活力的同時也由于相關知識的薄弱以及安全意識的匱乏,給了攻擊者更多的可乘之機。面對頻頻爆發的安全事件,慢霧特推出區塊鏈安全入門筆記系列,向大家介紹區塊鏈安全相關名詞,讓新手們更快適應區塊鏈危機四伏的安全攻防世界!
短地址攻擊ShortAddressAttack
短地址攻擊(ShortAddressAttack)是針對以太坊上ERC20智能合約的一種攻擊形式,利用的是EVM中的對于輸入字節碼的自動補全機制進行攻擊。
一般而言,針對ERC20合約中的transfer函數的調用,輸入的字節碼位數都是136字節的。當調用ERC20中的transfer函數進行ERC20Token轉賬時,如果攻擊者提供的地址后有一個或多個0,那么攻擊者就可以把地址后的零省去,提供一個缺位的地址。當對這個地址轉賬的時候,比方說轉賬100的AToken,然后輸入的地址是攻擊者提供的缺位地址,這時候,經過編碼輸入的數據是134字節,比正常的數據少了2字節,在這種情況下,EVM就會對缺失的字節位在編碼數據的末尾進行補0湊成136字節,這樣本來地址段缺失的0被數據段的0補齊了,而由于給地址段補0,數據段會少0,而數據段缺失的0由EVM自動補齊,這就像數據段向地址段移動補齊地址段缺失字節位,然后數據段缺失的字節位由EVM用0補齊。這種情況下,轉賬金額就會由100變成100*16的n次方,n是地址缺失的0的個數。通過這種方式,攻擊者就能對交易所或錢包進行攻擊,盜竊交易所和錢包的資產。
上海股交中心已完成中心區塊鏈系統項目立項:近日,證監會發布《關于原則同意北京、上海、江蘇、浙江、深圳等5家區域性股權市場開展區塊鏈建設工作的函》,原則同意5家區域性股權市場參與區塊鏈建設試點工作。記者7月22日從上海股交中心獲悉,其已成為5家開展區塊鏈建設試點的區域性股權市場之一,目前已成立了專門工作小組,且完成了中心區塊鏈系統(股權登記托管)項目立項。下一步將梳理上鏈數據與數據結構,推進項目招標工作。(證券時報網)[2020/7/22]
慢霧安全團隊建議交易所和錢包在處理轉賬的時候,要對轉賬地址進行嚴格的校驗,防止短地址攻擊的發生。詳情可參考:
遺忘的亞特蘭蒂斯:
以太坊短地址攻擊詳解
報告:2019年區塊鏈市場規模達12億元 2020年產業規模持續增長:4月27日消息,2020年中國區塊鏈行業發展現狀分析報告顯示,近年來我國區塊鏈行業發展迅速,市場規模由2016年的1億元增加至2019年的12億元,提供相關服務的企業數量達到1006家,主要分布在四大聚集區。區塊鏈研究機構數量已達97家,參與的高校已有24所,研究成果顯著,專利申請數量占全球六成。2020年,我國區塊鏈政策將持續利好、標準規范更加完善、產業規模持續增長、技術持續創新發展、重點領域應用示范效應加速顯現。(前瞻產業研究院)[2020/4/27]
假幣攻擊FakeTokenAttack
假幣攻擊(FakeTokenAttack),是針對那些在創建官方Token時采用通用創建模版創建出來的代幣,每個Token的識別僅根據特定的標記進行識別,如EOS官方Token的識別標記是"eosio.token"合約,波場的TRC10的識別標記是tokenid,以太坊的ERC20是用合約地址作為識別標記。那么這樣就會出現一個問題,如果收款方在對這些Token進行收款的時候沒有嚴格校驗這些Token特有的標記,攻擊就會發生,以EOS為例子,由于EOS官方Token采用的是合約來發行一個名為EOS的Token,標記EOS本身的標識是"eosio.token"這個發行帳號,如果在接受轉賬的時候沒有校驗這個標識,攻擊者就能用其他的帳號同樣發行一個名為EOS的Token,對交易所或錢包進行假幣充值,換取真的代幣。
吉安:今年重點資助區塊鏈等領域的留學人員創業:江西吉安市人社局表示,2020年留學人員回國創業啟動支持計劃申報已開始。今年的計劃重點聚焦國家發展戰略,重點資助先進裝備制造、人工智能、大數據、區塊鏈、新材料、現代醫學與前沿生物、清潔能源等領域的留學人員創業企業。(中國江西網)[2020/4/6]
2019年4月11日,波場DappTronBank1小時內被盜走約1.7億枚BTT。監測顯示,黑客創建了名為BTTx的假幣向合約發起“invest”函數,而合約并沒有判定發送者的代幣id是否與BTT真幣的id1002000一致。因此黑客拿到真幣BTT的投資回報和推薦獎勵,以此方式迅速掏空資金池。對此,交易所和錢包在處理轉賬的時候,切記要嚴格檢驗各種代幣各種標識,防止假幣攻擊。
海南省委網信委會議:加強區塊鏈等新型數字基礎設施建設:4月3日,海南省委書記、省委網信委主任劉賜貴主持召開省委網信委第二次全體會議,會議指出,信息化建設是高質量發展的基礎和前提,要加快推進“智慧海南”建設,大力推動5G覆蓋和應用,加強區塊鏈、云計算、大數據、物聯網等新型數字基礎設施建設,不搞重復建設,推動信息化產業和高新技術產業跨越式發展。(海南日報)[2020/4/4]
整型溢出攻擊IntegerOverflowAttack
數據的存儲是區塊鏈上重要的一環。但是每個數據類型本身是存在邊界的,例如以太坊中uint8類型的變量就只能存儲0~255大小的數據,超過了就存不下了。那么如果要放一個超過數據類型大小的數字會怎樣呢?例如把256存進uint8的數據類型中,數據顯示出來會變成1,而不是其他數值,也不會報錯,因為uint8本身能存一個8位二進制數字,最大值為11111111,如果這個時候加1,這個二進制數就變成了100000001,而因為數據邊界的關系,只能拿到后8位,也就是00000001,那么數字的大小就變成1了,這種情況我們稱為上溢。有上就有下,下溢的意思就是一個值為0的uint8數據,如果這個時候對它進行減1操作,結果會變成該數據類型所能存儲的最大值加1減去被減數,在這個例子中是255,也就是該數據類型所能存儲的最大值。那么如果上述兩種情況發生在智能合約當中的話,惡意用戶通過下溢的操作,操縱自己的帳號向其他帳號發送超過自己余額數量的代幣,如果合約內沒有對余額進行檢查,惡意用戶的余額就會下溢出變成一個超大的值,這個時候攻擊者如果大量拋售這些代幣,就能瞬間破壞整個代幣的價值系統。
聲音 | IBM 首席區塊鏈專家:區塊鏈面臨最大的挑戰是安全問題:IBM Waston研究中心首席區塊鏈科學家Donna Dillenberger在接受采訪時表示,區塊鏈技術目前面臨最大的挑戰是安全問題。這些安全問題主要來自四個方面:系統管理員的攻擊風險、未經加密處理的信息、沒有妥善管理的密鑰匙、以及區塊鏈的自我防御措施。[2018/11/12]
慢霧安全團隊建議所有的智能合約開發者在智能合約中對數據進行操作的時候,要嚴格校驗數據邊界,防止整形溢出攻擊的發生。詳情可參考:
BEC智能合約無限轉幣漏洞分析及預警
。
條件競爭攻擊RaceCondition
條件競爭(RaceCondition)攻擊的方式很多樣,但是核心的本質無非是對某個條件的狀態修改的競爭,如上期介紹的重入漏洞,也是條件競爭的一種,針對的是用戶余額這個條件進行競爭,只要用戶的余額沒有歸零,用戶就能一直提走智能合約的錢。這次介紹的條件競爭的例子是最近發生的著名的Edgeware鎖倉合約的拒絕服務漏洞,詳情可參考:
關于Edgeware鎖倉合約的拒絕服務漏洞
。這個漏洞問題的本質在于對新建的鎖倉合約的余額的這個條件進行競爭。攻擊者可以監控所有鏈上的鎖倉請求,提前計算出鎖倉合約的地址,然后向合約地址轉賬,造成鎖倉失敗。在官方沒有修復之前,要防止這種攻擊,只能使用比攻擊者更高的手續費讓自己的鎖倉交易先行打包,從而與攻擊者形成競爭避免攻擊。最后,官方修復方案為不對鎖倉合約的余額進行強制性的相等檢查,而是采用大于等于的形式,避免了攻擊的發生。
慢霧安全團隊建議智能合約的開發者在智能合約中對某些狀態進行修改的時候,要根據實際情況充分考慮條件競爭的風險,防止遭受條件競爭攻擊。
Tags:區塊鏈TOKTOKENKEN區塊鏈的未來發展前景怎么樣Bevo Digital Art Tokenimtokenapp下載網址CEEC Token
編者按:本文來自陀螺財經,作者:大海,星球日報經授權發布。據陀螺財經消息,2019年8月19日幣安宣布啟動「啟明星計劃」,旨在打造獨立自主的數字貨幣.
1900/1/1 0:00:00正在閱讀本文的你,很可能已經聽說過DAPP網絡,DAPP網絡提供了vRAM和其他類型的服務,幫助開發者創建新一代可擴展、易使用的dApp.
1900/1/1 0:00:008月15日,加密信用評估創業公司Graychain發布了一份長達26頁的Defi借貸產品報告,報告顯示,加密借貸目前價值超47億美元,但放貸人僅賺取8600萬美元的利息收入.
1900/1/1 0:00:00下方筑底完成,根據盤面指示。行情晚間將重回一萬上方,昨日行情下跌近千點,讓市場上的韭菜損失嚴重,筆者并不意外,因為這個市場隨時都有人在加入,同樣隨時有人虧損出局.
1900/1/1 0:00:00一、股幣分離 EOS的母公司BlockOne被曝出用EOS融資融來的錢,買了14萬枚比特幣,這件事引起了市場的廣泛討論。有人說,不要慌,大膽持有EOS,EOS在炒幣。。
1900/1/1 0:00:00近一段時間以來,數字貨幣整體行情持續在低谷徘徊;但股市和貴金屬市場卻受到外界信息的刺激走出了激烈行情.
1900/1/1 0:00:00