链闻ChainNews:
上周,慢雾披露的以太坊代币「假充值」漏洞,可谓一石激起千层浪,这次漏洞影响到相当数量的交易所和中心化钱包等,影响范围广泛。本文为你深入解析这次漏洞的前因后果。
来源|慢雾区作者|慢雾安全团队
披露时间线以太坊代币「假充值」漏洞影响面非常之广,影响对象至少包括:相关中心化交易所、中心化钱包、代币合约等。单代币合约,我们的不完全统计就有3619份存在「假充值」漏洞风险,其中不乏知名代币。相关项目方应尽快自查。**由于这不仅仅是一个漏洞那么简单,这已经是真实在发生的攻击!**出于影响,我们采取了负责任的披露过程,这次攻击事件的披露前后相关时间线大致如下:
2018/6/28慢雾区情报,USDT「假充值」漏洞攻击事件披露2018/7/1慢雾安全团队开始分析知名公链是否存在类似问题2018/7/7慢雾安全团队捕获并确认以太坊相关代币「假充值」漏洞攻击事件2018/7/8慢雾安全团队分析此次影响可能会大于USDT「假充值」漏洞攻击事件,并迅速通知相关客户及慢雾区伙伴2018/7/9慢雾区对外发出第一次预警2018/7/10慢雾安全团队把细节同步给至少10家区块链生态安全同行2018/7/11细节报告正式公开漏洞细节
美国银行:以太坊的合并可能会导致更多机构采用以太坊:金色财经报道,美国银行(BAC)周五在一份研究报告中表示,合并后能源消耗的显着减少可能允许一些机构投资者首次购买ETH。分析师Alkesh Shah 和 Andrew 表示:作为验证者或通过质押服务而不是在区块链借贷应用程序上质押 ETH 并产生更高质量收益(更低的信用和流动性风险)的能力也可能推动机构采用。
美国银行表示,更高质量的收益也对去中心化应用程序(Dapp)的 Web3 生态系统产生影响。诸如 Nexus Mutual 之类的去中心化保险协议需要为其准备金产生回报,以使其成为传统保险公司的可行替代方案。保险公司通常将其准备金投资于企业和政府债务,但在数字资产生态系统中很难找到具有类似风险和回报特征的工具。它补充说,在以太坊上进行质押可能是最接近的选择。[2022/9/12 13:24:43]
以太坊代币交易回执中status字段是0x1(true)还是0x0(false),取决于交易事务执行过程中是否抛出了异常。当用户调用代币合约的transfer函数进行转账时,如果transfer函数正常运行未抛出异常,该交易的status即是0x1(true)。
GameStop正招聘一名以太坊专家:金色财经报道,根据该公司发布的招聘信息,GameStop正在寻求建立一个基于以太坊的 Web3 分支。该零售商表示,它正在寻找具有“以太坊、NFT和基于区块链的游戏平台经验”的人担任其“Web3 游戏负责人”的角色。(CoinDesk)[2021/10/26 20:59:38]
如图代码,某些代币合约的transfer函数对转账发起人(msg.sender)的余额检查用的是if判断方式,当balances<_value时进入else逻辑部分并returnfalse,最终没有抛出异常,我们认为仅if/else这种温和的判断方式在transfer这类敏感函数场景中是一种不严谨的编码方式。而大多数代币合约的transfer函数会采用require/assert方式,如图:
当不满足条件时会直接抛出异常,中断合约后续指令的执行,或者也可以使用EIP20推荐的if/elserevert/throw函数组合机制来显现抛出异常,如图:
Zapper支持追踪以太坊扩容方案Arbitrum资产:9月3日消息,DeFi资管平台Zapper宣布用户可在Zapper中追踪其在以太坊扩容方案Arbitrum的资产,接下来几天将推出一些与Arbitrum的集成。[2021/9/3 22:58:49]
我们很难要求所有程序员都能写出最佳安全实践的代码,这种不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,如果交易所仅判断如TxReceiptStatus是success就以为充币成功,就可能存在「假充值」漏洞。如图:
参考示例TX:https://etherscan.io/tx/0x9fbeeba6c7c20f81938d124af79d27ea8e8566b5e937578ac25fb6c6804error
以太坊链上交易量下降42.37%:金色财经消息,据欧科云链OKLink数据显示,截至下午2时,以太坊24h链上活跃地址数逾56.24万,环比下降14.13%;链上交易量近368.07万ETH,环比下降42.37%;当前建议Gas费用为71.6Gwei,环比下降6.29%。[2021/1/13 16:03:26]
修复方案
除了判断交易事务success之外,还应二次判断充值钱包地址的balance是否准确的增加。其实这个二次判断可以通过Event事件日志来进行,很多中心化交易所、钱包等服务平台会通过Event事件日志来获取转账额度,以此判断转账的准确性。但这里就需要特别注意合约作恶情况,因为Event是可以任意编写的,不是强制默认不可篡改的选项:
emitTransfer(from,to,value);//value等参数可以任意定义
以太坊2.0测试网Medalla参与率已达到66%:Beaconscan官方监测数据显示,截至目前以太坊2.0测试网Medalla参与率已达到66.65%,网络或将开始正常运行。[2020/8/20]
作为平台方,在对接新上线的代币合约之前,应该做好严格的安全审计,这种安全审计必须强制代币合约方执行最佳安全实践。作为代币合约方,在编码上,应该严格执行最佳安全实践,并请第三方职业安全审计机构完成严谨完备的安全审计。
后记Q&A
Q:为什么我们采取这种披露方式?
A:本质是与攻击者赛跑,但是这个生态太大,我们的力量不可能覆盖全面,只能尽我们所能去覆盖,比如我们第一时间通知了我们的客户,然后是慢雾区伙伴的客户,再然后是关注这个生态的安全同行的客户,最终不得不披露出细节。
Q:为什么说披露的不仅仅是漏洞,而是攻击?
A:其实,以我们的风格,我们一般情况下是不会单纯去提漏洞,漏洞这东西,对我们来说太普通,拿漏洞来高调运作不是个好方式。而攻击不一样,攻击是已经发生的,我们必须与攻击者赛跑。披露是一门艺术,没什么是完美的,我们只能尽力做到最好,让这个生态有安全感。
Q:至少3619份存在「假充值」漏洞风险,这些代币该怎么办?
A:很纠结,一般来说,这些代币最好的方式是重发,然后新旧代币做好「映射」。因为这类代币如果不这样做,会像个「定时炸弹」,你不可能期望所有中心化交易所、中心化钱包等平台方都能做好安全对接,一旦没做好这个“假充值”漏洞的判断,那损失的可是这些平台方。而如果平台方损失严重,对整个市场来说必然也是一种损失。
Q:有哪些知名代币存在「假充值」漏洞?
A:我们不会做点名披露的事。
Q:有哪些交易所、钱包遭受过「假充值」漏洞的攻击?
A:恐怕没人会公开提,我们也不会点名。
Q:这些代币不重发是否可以?
A:也许可以,但不完美。不选择重发的代币要么很快是发布主网就做「映射」的,要么得做好通知所有对接该代币的平台方的持续性工作。
Q:为什么慢雾可捕获到这类攻击?
A:我们有健壮的威胁情报网络,捕获到异常时,我们默认直觉会认为这是一种攻击。
Q:除了USDT、以太坊代币存在「假充值」漏洞风险,还有其他什么链也存在?
A:暂时不做披露,但相信我们,「假充值」漏洞已经成为区块链生态里不可忽视的一种漏洞类型。这是慢雾安全团队在漏洞与攻击发现史上非常重要的一笔。
更多精彩内容,关注链闻ChainNews公众号,或者来微博**@链闻ChainNews**与我们互动!转载请注明版权和原文链接!
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
链闻研究院
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626929.html
以太坊ETH漏洞风险安全
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
起底「黑暗幽灵」战队:做空币价,打劫过所有头部交易所,除了币安
据cryptovest消息,韩国区块链协会(KBA)本周三表示,已有12家韩国加密货币交易所通过了自我监管标准检查,不过还有一些缺陷存在.
1900/1/1 0:00:00每日最新大咖观点,看我就够了!本期作者:叶子谁创造了比特币是否重要?Blockstream首席战略官SamsonMow:如果中本聪是比特币之父,那么AdamBack就是BTC的爷爷.
1900/1/1 0:00:00近期,各方在企业区块链方面动作频出:三星SDS推出更新版的企业级区块链平台NexledgerUniversal;唯链Vechain推出ToolChain企业区块链解决方案;量子链Qtum推出了企.
1900/1/1 0:00:00尊敬的ZT用户:有没有觉得ZT.COM的充提过程总是等待又等待,钱包总是维护又维护?世上最远的距离,是你在这头,币在那头.
1900/1/1 0:00:00由张晓老师发起指导,以太坊社区基金会支持的山东工商学院计算机科学与技术学院“大学生区块链技术研究会”已正式成立.
1900/1/1 0:00:00火星财经APP一线报道,5月24日,由人民日报数字传播、三亚市商务会展局、国印金控、FINWEX主办的“IFIC全球金融科技创新峰会·三亚”在三亚举行.
1900/1/1 0:00:00