鏈聞訊:
區塊鏈安全公司慢霧科技發布預警,稱部分交易所及中心化錢包遭受以太坊代幣「假充值」漏洞攻擊之后,7月10日表示已通知了大部分交易所和中心化錢包確認漏洞細節。該公司稱,此漏洞影響面很大,將在7月11日公布詳細漏洞分析報告,以下為漏洞分析詳細內容:
漏洞分析報告來自慢霧區公眾號
披露時間線
以太坊代幣「假充值」漏洞影響面非常之廣,影響對象至少包括:相關中心化交易所、中心化錢包、代幣合約等。單代幣合約,我們的不完全統計就有3619份存在「假充值」漏洞風險,其中不乏知名代幣。相關項目方應盡快自查。由于這不僅僅是一個漏洞那么簡單,這已經是真實在發生的攻擊!出于影響,我們采取了負責任的披露過程,這次攻擊事件的披露前后相關時間線大致如下:
2018/6/28慢霧區情報,USDT「假充值」漏洞攻擊事件披露
慢霧:Harmony Horizon bridge遭攻擊簡析:據慢霧安全團隊消息,Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析,攻擊者(0x0d0...D00)獲利超 1 億美元,包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊鏈攻擊者將大部分代幣轉移到兩個新錢包地址,并將代幣兌換為 ETH,接著將 ETH 均轉回初始地址(0x0d0...D00),目前地址(0x0d0...D00)約 85,837 ETH 暫無轉移,同時,攻擊者在 BNB 鏈暫無資金轉移操作。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/6/24 1:28:30]
2018/7/1慢霧安全團隊開始分析知名公鏈是否存在類似問題
2018/7/7慢霧安全團隊捕獲并確認以太坊相關代幣「假充值」漏洞攻擊事件
慢霧:ERC721R示例合約存在缺陷,本質上是由于owner權限過大問題:4月12日消息,據@BenWAGMI消息,ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析,此缺陷本質上是由于owner權限過大問題,在ERC721R示例合約中owner可以通過setRefund Address函數任意設置接收用戶退回的NFT地址。
當此退回地址持有目標NFT時,其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在owner Mint函數,owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。[2022/4/12 14:19:58]
2018/7/8慢霧安全團隊分析此次影響可能會大于USDT「假充值」漏洞攻擊事件,并迅速通知相關客戶及慢霧區伙伴
元界DNA主鏈代碼已通過慢霧科技安全審計:元界DNA(Metaverse Dualchain Network Architecture)主鏈代碼已通過慢霧科技安全審計。慢霧科技采用“白盒為主,黑灰為輔”的策略,以最貼近真實攻擊的方式對Metaverse DNA主鏈代碼的隨機數生成算法安全、密鑰存儲與內存安全、密碼學組件調用、加密強度安全、交易延展性、交易重放安全性、代幣“假充值”漏洞、RPC“黑人節”漏洞、代碼合規性共9個維度進行了全面的安全審計,審計報告顯示Metaverse DNA主鏈代碼通過慢霧科技公鏈安全審計標準。
元界DNA主網(Helix 1.0)已于2020年8月5日正式上線,其基礎代幣DNA目前已上線包括OKEx、ZB、Bittrex(B網)等全球19家主流交易平臺。[2020/8/10]
2018/7/9慢霧區對外發出第一次預警
2018/7/10慢霧安全團隊把細節同步給至少10家區塊鏈生態安全同行
慢霧科技創始人余弦:安全的預算需要占到全年預算的20%左右:針對最近出現的安全問題,慢霧科技創始人余弦在微博上表示:給加密貨幣行業一個中肯建議:這個行業,自帶金融屬性,無國家安全力量保障,盜幣溯源有很難。安全的預算需要占到全年預算的20%左右,這比例一部分(可能是大部分)是內部安全成本消耗,一部分是給第三方職業安全團隊(如慢霧),一部分是給社區的白帽黑客。另外,做個安全應急準備金,黑天鵝出來后,可以拿來做些彌補及挽救支持的。既然喊了安全第一,既然安全也是區塊鏈三大必備基礎元素之一,那就這樣干,不應該有任何的猶豫和幻想。[2020/4/20]
2018/7/11細節報告正式公開
漏洞細節
以太坊代幣交易回執中status字段是0x1(true)還是0x0(false),取決于交易事務執行過程中是否拋出了異常。當用戶調用代幣合約的transfer函數進行轉賬時,如果transfer函數正常運行未拋出異常,該交易的status即是0x1(true)。
聲音 | 慢霧余弦:壓測是一件非常有意思且有意義的事 對主網進化有正面作用:針對BSV網絡昨晚出現210MB大小區塊,慢霧余弦發文表示,公鏈主網的發展,一定是進化的發展,這對接入主網的節點各方面的性能要求也會越來越高,大趨勢都是如此。當然如果節點在這方面跟不上,短期來說確實會造成一些不穩定性困擾,但長期來說,如果這是一條價值公鏈,這些節點都會跟上。壓測是一件非常有意思且有意義的事,任何人都可以做,包括作惡者,這是任何一條鏈都無法逃避的事實,壓測對主網的進化是個很正面的事,哪怕這個過程可能帶來一些意想不到的困擾。
今早消息,慢霧團隊曾評價BSV內測事件稱,客觀來說這是一次成功的壓測,壓測持續了約2小時(2000~23:00),未造成區塊回滾,且不影響正常交易。這次的壓測,我們也暫無收到合作的各大交易所的異常反饋,比起對上一次4月份的BSV“壓測”反應來看,這次要溫和多了。看得出整個BSV生態對這次“壓測”持有正面積極的態度。[2019/8/4]
如圖代碼,某些代幣合約的transfer函數對轉賬發起人(msg.sender)的余額檢查用的是if判斷方式,當balances<_value時進入else邏輯部分并returnfalse,最終沒有拋出異常,我們認為僅if/else這種溫和的判斷方式在transfer這類敏感函數場景中是一種不嚴謹的編碼方式。而大多數代幣合約的transfer函數會采用require/assert方式,如圖:
當不滿足條件時會直接拋出異常,中斷合約后續指令的執行,或者也可以使用EIP20推薦的if/elserevert/throw函數組合機制來顯現拋出異常,如圖:
我們很難要求所有程序員都能寫出最佳安全實踐的代碼,這種不嚴謹的編碼方式是一種安全缺陷,這種安全缺陷可能會導致特殊場景下的安全問題。攻擊者可以利用存在該缺陷的代幣合約向中心化交易所、錢包等服務平臺發起充值操作,如果交易所僅判斷如TxReceiptStatus是success就以為充幣成功,就可能存在「假充值」漏洞。如圖:
參考示例TX:
https://etherscan.io/tx/0x9fbeeba6c7c20f81938d124af79d27ea8e8566b5e937578ac25fb6c68049f92e
修復方案
除了判斷交易事務success之外,還應二次判斷充值錢包地址的balance是否準確的增加。其實這個二次判斷可以通過Event事件日志來進行,很多中心化交易所、錢包等服務平臺會通過Event事件日志來獲取轉賬額度,以此判斷轉賬的準確性。但這里就需要特別注意合約作惡情況,因為Event是可以任意編寫的,不是強制默認不可篡改的選項:
emitTransfer(from,to,value);//value等參數可以任意定義
作為平臺方,在對接新上線的代幣合約之前,應該做好嚴格的安全審計,這種安全審計必須強制代幣合約方執行最佳安全實踐。
作為代幣合約方,在編碼上,應該嚴格執行最佳安全實踐,并請第三方職業安全審計機構完成嚴謹完備的安全審計。
后記Q&A
Q:為什么我們采取這種披露方式?
A:本質是與攻擊者賽跑,但是這個生態太大,我們的力量不可能覆蓋全面,只能盡我們所能去覆蓋,比如我們第一時間通知了我們的客戶,然后是慢霧區伙伴的客戶,再然后是關注這個生態的安全同行的客戶,最終不得不披露出細節。
Q:為什么說披露的不僅僅是漏洞,而是攻擊?
A:其實,以我們的風格,我們一般情況下是不會單純去提漏洞,漏洞這東西,對我們來說太普通,拿漏洞來高調運作不是個好方式。而攻擊不一樣,攻擊是已經發生的,我們必須與攻擊者賽跑。披露是一門藝術,沒什么是完美的,我們只能盡力做到最好,讓這個生態有安全感。
Q:至少3619份存在「假充值」漏洞風險,這些代幣該怎么辦?
A:很糾結,一般來說,這些代幣最好的方式是重發,然后新舊代幣做好「映射」。因為這類代幣如果不這樣做,會像個「定時炸彈」,你不可能期望所有中心化交易所、中心化錢包等平臺方都能做好安全對接,一旦沒做好這個「假充值」漏洞的判斷,那損失的可是這些平臺方。而如果平臺方損失嚴重,對整個市場來說必然也是一種損失。
Q:有哪些知名代幣存在「假充值」漏洞?
A:我們不會做點名披露的事。
Q:有哪些交易所、錢包遭受過「假充值」漏洞的攻擊?
A:恐怕沒人會公開提,我們也不會點名。
Q:這些代幣不重發是否可以?
A:也許可以,但不完美。不選擇重發的代幣要么很快是發布主網就做「映射」的,要么得做好通知所有對接該代幣的平臺方的持續性工作。
Q:為什么慢霧可捕獲到這類攻擊?
A:我們有健壯的威脅情報網絡,捕獲到異常時,我們默認直覺會認為這是一種攻擊。
Q:除了USDT、以太坊代幣存在「假充值」漏洞風險,還有其他什么鏈也存在?
A:暫時不做披露,但相信我們,「假充值」漏洞已經成為區塊鏈生態里不可忽視的一種漏洞類型。這是慢霧安全團隊在漏洞與攻擊發現史上非常重要的一筆。
鏈聞ChainNews:提供每日不可或缺的區塊鏈新聞。
原文作者:慢霧鏈聞編輯:Ajina版權聲明:文章為作者獨立觀點,不代表鏈聞ChainNews立場。
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
鏈聞速遞
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3626928.html
以太坊ETH漏洞風險安全
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
眾多項目啟動「道德黑客」賞金計劃,EOS上半年賞金超10萬美元
文章來源:第一財經網作者:杜川區塊鏈技術迅速發展,虛擬貨幣漸漸走入大眾視線,虛擬幣交易平臺也如雨后春筍一般興起。然而交易平臺背后的經營者能力,以及平臺的自身安全性并無法得到很好的保障.
1900/1/1 0:00:00國際志愿者招募 親愛的用戶: 我們是敢于實現夢想的創新者。我們正在用區塊鏈技術創造一個更美好的世界,改革我們的金融系統,重新定義人際關系,縮短人與人之間的距離.
1900/1/1 0:00:00火星財經APP一線報道,據火星財經APP行情顯示,5月20日晚間11點,加密貨幣交易所Bibox平臺幣BIX價格出現異常表現,從0.29美元左右飆升至1.4999美元,24小時漲幅近400%.
1900/1/1 0:00:00一、通用平臺類數字資產行業概述平臺類項目指與區塊鏈底層技術開發相關聯,且以該類平臺使用權或參與權為支撐的一類資產.
1900/1/1 0:00:00據之前coingeek報道:“澳本聰已經獲得了的原始比特幣白皮書和大部分原始比特幣代碼(0.1版)的美國版權注冊。美國版權局發布的注冊文件承認澳本聰是白皮書和代碼的作者.
1900/1/1 0:00:00“黑客”這個詞,相信大家再熟悉不過了。自從互聯網誕生以來,黑客就成了以高超手段盜取用戶信息的代名詞.
1900/1/1 0:00:00