6.18期間正愁”千手觀音“還不夠剁,如果一覺醒來,突然發現爸媽的賬戶可以隨便用了,前男友的錢因為權限設置錯誤而對你以及他所有前女友開放了。不是天上掉餡餅,而是老天可能漏了個洞。
我的是我的,你的還是我的。
這種漏洞恰好于6月18日發生在了Bancor部署的智能合約上。
Bancor 在6月16號部署了他們的 BancorNetwork v0.6的智能合約, 緊接著兩天后合約被發現存在嚴重的安全漏洞。攻擊者可利用此漏洞轉走合約里的錢。
智能合約可能產生的漏洞有很多種,而本次Bancor智能合約所產生的漏洞與函數有關。
先科普一下,在智能合約里,函數有4種訪問權限:
Public - 可被所有人調用
LBank藍貝殼于4月10日01:00首發 BOSON,開放USDT交易:據官方公告,4月10日01:00,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日23:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。
LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]
External - 只可被外部所調用
Internal - 只可被合約本身以及繼承合約調用
Private - 只可被合約本身調用
這里強調一下,當函數權限被設置為public時,任何人都可以調用這個函數,從而把合約里的錢轉走。也就是說,當你的前男友不小心把他的錢包權限設置成了公開,那么包括他的現任、前任、前前任在內的世界上的任何人,都可以輕而易舉地把他的錢轉移走。此刻他一定非常心塞。
LBANK藍貝殼于3月22日18:00首發 DORA,開放USDT交易:據官方公告,3月22日18:00,LBANK藍貝殼首發DORA(Dora Factory),開放USDT交易,現已開放充值。
資料顯示,Dora Factory 是基于波卡的 DAO 即服務基礎設施,基于 Substrate 的開放、可編程的鏈上治理協議平臺,為新一代去中心化組織和開發者提供二次方投票、曲線拍賣、Bounty 激勵、跨鏈資產管理等可插拔的治理功能。同時,開發者可以向這個 DAO 即服務平臺提交新的治理模塊,并獲得持續的激勵。[2021/3/22 19:07:06]
下面我們來看一下此次Bancor漏洞的代碼:
在漏洞合約的第45行我們看到safeTransferFrom函數,這個函數的功能是從一個地址往另一個地址轉賬,注意到此函數的權限被設置為public。
《精靈達人3D》正式首發 Cocos-BCX 主網:據官方消息,近日,由生態合伙人 DAPPX 參與開發的《精靈達人3D》正式首發于游戲公鏈 Cocos-BCX 主網。《精靈達人3D》是一款以精靈寶可夢為題材的抓寵游戲,游戲美術采用全3D 制作。用戶可通過 CocosWallet , DAPPX 或 IMCOCOS 登錄 COCOS 主網賬號即可體驗。截至目前,Cocos-BCX 主網已上線《加密騎士團》《惡龍必須死》《XPEX怪獸世界》《Go Block》《可可奪幣》《熊貓運動會》等多款玩法多樣的趣味性鏈游,游戲公鏈生態在逐步壯大和完善。[2020/8/20]
有趣的是,CertiK團隊通過進一步的調查發現,在有漏洞的合約部署的兩天后,Bancor團隊用了以下兩個錢包地址去通過漏洞提取合約中的資金,來清空合約里的資金,防止被黑客盜取,也算是彌補漏洞的精明之舉:
0xc8021b971e69e60c5deede19528b33dcd52cdbd8,
0x14fa61fd261ab950b9ce07685180a9555ab5d665
首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊,近日,DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞,攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息,嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件,DVP安全團隊在收到該漏洞后,第一時間通知該平臺進行修復,但未收到回應。DVP提醒相關用戶關注個人信息安全,以免造成損失。[2019/8/13]
幾乎同時,兩個第三方人員也開始利用這個漏洞提取資金,其中一位利用漏洞進行了16次取款交易,總共取出了131,889.34美元。這個第三方人員的ETH地址和郵箱分別是:
0x052ede4c2a04670be329db369c4563283391a3ea
arden43y@gmail.com
此人稱這個地址的背后是一個自動運行的交易系統,可能會無意利用人為的失誤和合約的漏洞獲取資金。如果能夠證明這個地址通過漏洞得到了錢,他可以把錢歸還。
IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道:近日ETH出現多個ERC20智能合約的處理溢出錯誤,BM在推特上發表評論:新的ETH契約Bug可能會破壞整個Token的供應,讓持有者留下無價值Token.這就算為什么代碼不能成為法律,隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護?BM回應:有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]
而另一位的地址是以下兩個:
0x854B21385544c44121f912AEdF4419335004F8ec,
0x1ad1099487b11879e6116ca1ceee486d1efa7b00
他總共進行了四筆取款交易,共提取了3340美元。(折合人民幣2萬3千元左右,可以足足吃上2000多頓小龍蝦。)
Bancor對此事件進行了官方回應(詳情請見文末“其他參考鏈接”第一條):
其中有一段提到他們利用這個漏洞把合約里的$455,349的余額轉移到另一個錢包里了。
另一段稱已與兩位第三方人員取得聯系,請求他們退回利用合約漏洞而轉走的資金。
Bancor隨后更新了有漏洞的合約。
可以明顯看出public被改為了internal。
造成此嚴重漏洞的原因是開發人員在設置函數權限的時候犯了錯誤。在智能合約里,僅僅一個參數使用錯誤,就可導致合約里所有人的錢都處于危險之中。
值得慶幸的是,此次漏洞并沒有被黑客利用,不然用戶的錢將永遠無法追溯。
智能合約類似于函數調用錯誤的漏洞還包括但不限于DOS、邏輯錯誤、越權訪問、重入及整數溢出等一千種可能。這一千種可能里面任意的一種可能,都會給公司及用戶帶來巨大的財產損失,而且合約具有一旦部署就不可更改的屬性。
因此,保證智能合約沒有漏洞,是非常重要的。合約在部署前,交給專業的安全公司進行安全審計是不可或缺的環節。
CertiK會使用形式化通過數學層面的驗證去證明智能合約的正確性。以上則是CertiK安全審計的部分內容。
程序測試可以證明漏洞的存在,但永遠不能說明漏洞不存在。
而CertiK的存在,就是為了讓漏洞不存在。
我們絕不僅僅是尋找漏洞,而是要消除哪怕只有0.00000001%被攻擊的可能性。
文中所提及智能合約及地址鏈接如下:
存在漏洞的智能合約:
https://github.com/bancorprotocol/contracts-solidity/blob/4394c0e1d1785a71044101b1d6df57e332b73ba9/solidity/contracts/utility/TokenHandler.sol
漏洞合約部署的地址:
0x8dFEB86C7C962577deD19AB2050AC78654feA9F7
0x5f58058C0eC971492166763c8C22632B583F667f
0x923cAb01E6a4639664aa64B76396Eec0ea7d3a5f
修改后的智能合約:
https://github.com/bancorprotocol/contracts-solidity/blob/master/solidity/contracts/utility/TokenHandler.sol
其他參考鏈接:
https://blog.bancor.network/bancors-response-to-today-s-smart-contract-vulnerability-dc888c589fe4
https://github.com/bancorprotocol/contracts-solidity/blob/4394c0e1d1785a71044101b1d6df57e332b73ba9/solidity/contracts/utility/TokenHandler.sol#L45
https://explore.duneanalytics.com/public/dashboards/mEUEd9rQCPjeMkryEIgbtC0YUZwOXESQPTkkqdPX
Tags:BANBancorANCSOLLbank公司怎么樣Bancor Governance TokenZuFinancesol幣發行量多少
在《海南自由貿易港建設總體方案》發布后,6月13日,海南自由貿易港迎來首次項目集中簽約活動,包括中國人民大學、中央民族大學、中科院理化技術研究所、商業航天產業聯盟、中國珠寶玉石首飾行業協會等機構.
1900/1/1 0:00:00導語:今年全國兩會期間,全國政協常委,最高人民法院副院長、第五巡回法庭庭長李少平提案建議,為充分發揮互聯網法院的功能作用,應進一步明確其專門法院地位,完善相關制度機制.
1900/1/1 0:00:00北京時間2020年5月28日,歐科云鏈OKLink正式發布ETC區塊鏈瀏覽器。此次上線的ETC瀏覽器延續了OKLink各幣種瀏覽器鏈上數據的實時監控等功能,增加了OKLink區塊鏈瀏覽器支持的幣.
1900/1/1 0:00:00金色財經近期推出金色硬核(Hardcore)欄目,為讀者提供熱門項目介紹或者深度解讀。與中心化交易所相比,去中心化交易所(DEX)的交易量越來越大,并且發展很迅速.
1900/1/1 0:00:00聯盟鏈BSN正在高速發展。據官方消息,截止至4月25日,區塊鏈服務網絡(BSN)全球節點共部署了128個,國內120個,國際8個,分布在除南極洲外的六大洲,從官方的節點實時監測工具上可以看到,監.
1900/1/1 0:00:00比特幣于北京時間5月12日03:23在區塊高度630000完成區塊獎勵減半,區塊獎勵從12.5BTC減半至6.25BTC.
1900/1/1 0:00:00