韩国国家级区块链项目ICON智能合约代码近日被爆代码存在安全漏洞,使transfer功能失效。虽然黑客无法利用这次漏洞盗币,但该漏洞会导致包括转账、交易等重要功能无法正常使用。据闻,项目方已积极投入大量资源修复漏洞并保证交易不受影响。
ICON到底出了什么安全漏洞?
在ICX的合约中,有一个功能可以开启/关闭合约的转账功能。最初,此功能的设计是只有ICX合约的所有者拥有调用它的权限;由于代码写错了逻辑运算符号,导致除了合约所有者之外的任何人都能随意开启和关闭该合约的转账功能。
Silvergate:未向Genesis提供贷款或投资,与Genesis存款关系低于250万美元:1月22日消息,加密友好银行 Silvergate Capital 发布公告称,截至 2022 年 12 月 31 日和 2023 年 1 月 19 日,Silvergate 与 Genesis 的存款关系均低于 250 万美元。Genesis 不是 Silvergate 比特币抵押的 SEN 杠杆贷款的托管人,Silvergate 也没有向 Genesis 提供贷款或投资。Silvergate 还表示,对 Genesis 的敞口很小,客户的存款一直是安全的。[2023/1/22 11:25:43]
让我们来看一下这段代码:
LendHub被黑简析:系LendHub中存在新旧两市场:金色财经报道,据慢雾安全区情报,2023 年 1 月 13 日,HECO 生态跨链借贷平台 LendHub 被攻击损失近 600 万美金。慢雾安全团队以简讯的形式分享如下:
此次攻击原因系 LendHub 中存在两个 lBSV cToken,其一已在 2021 年 4 月被废弃但并未从市场中移除,这导致了新旧两个 lBSV 都存在市场中。且新旧两个 lBSV 所对应的 Comptroller 并不相同但却都在市场中有价格,这造成新旧市场负债计算割裂。攻击者利用此问题在旧的市场进行抵押赎回,在新的市场进行借贷操作,恶意套取了新市场中的协议资金。
目前主要黑客获利地址为 0x9d01..ab03,黑客攻击手续费来源为 1 月 12 日从 Tornado.Cash 接收的 100 ETH。截至此时,黑客已分 11 笔共转 1,100 ETH 到 Tornado.Cash。通过威胁情报网络,已经得到黑客的部分痕迹,慢雾安全团队将持续跟进分析。[2023/1/13 11:11:00]
require(msg.sender!=walletAddress);//错误!从代码逻辑上来看,「!=」表示「不等于」,「==」表示「等于」很明显的,这行代码应该写成:require(msg.sender==walletAddress);//正确!
DAI成为市值最大的去中心化稳定币:金色财经报道,本月,Terra LUNA 和 UST 的影响已经波及 Defi 和整个加密生态系统。此外,Terra 内爆使稳定币DAI成为市值最大的去中心化稳定币。DAI是第四大稳定币,前三名(USDT、USDC、BUSD)是中心化稳定币产品。DAI由 Makerdao (?MKR?) 项目发行,与 UST 等算法稳定币不同,DAI 利用超额抵押贷款和还款流程。
截止发稿,DAI 的市值为 62.4 亿美元,但稳定币的市值在过去 30 天内下跌了 27.3%。尽管DAI保持稳定,但 Terra 的内爆给加密社区带来了冲击波,进而将 defi 中的 TVL 削减了一半。自 2022 年 5月1日以来,价值超过 26 亿美元的 DAI 被从流通中移除。在过去 24 小时内, DAI的全球交易量为 1.5999 亿美元。[2022/5/30 3:49:50]
事后来看,这几行代码所展现的错误很直接了当,可开发过程中要面对的是成百上千行代码,这样的繁杂就会带来对漏洞的忽略。而传统检测和安全审计服务不仅耗时耗力,还容易出现人为失误,导致不必要的损失。
怎么保证智能合约代码无漏洞?
为了探求如何能避免这类型的错误再次发生,小编请CertiK(Certik.org)--形式化验证平台帮忙做了一个深入检测,了解到CertiK如何通过将智能标签运用到源代码中,快速并且全自动化的检测安全漏洞。
上图就是CertiK检测ICX漏洞的实际过程,完整的演示了漏洞的验证过程及修复建议。据悉,ICX智能合约已经在上线做过多轮的安全「审计」,但可是这样的错误还是成了漏网之鱼。如果ICX当时能使用CertiK的形式化验证服务,这次事故很可能可以避免。
最后,小编还是要提醒智能合约要上线的各位,尽早让形式化验证平台为你的合约保驾护航。
附上ICX源代码:
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
区块链探长
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3630312.html
以太坊ETH韩国漏洞风险安全
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
「云挖坑」HashOcean或350万美元的BTC,黑客又当回「背锅侠」?
下一篇:
5%的门罗币来自恶意挖矿,诚实矿工收入锐减
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。