近日,据慢雾区消息,以太坊代币「假充值」漏洞影响面非常之广,影响对象至少包括:相关中心化交易所、中心化钱包、代币合约等。
慢雾区透露,仅代币合约,据不完全统计就有3619份存在「假充值」漏洞风险,其中不乏知名代币。慢雾安全团队分析此次影响可能会大于USDT「假充值」漏洞攻击事件,由于这不仅是漏洞,而是真实发生的攻击,相关项目方应尽快自查。
对于至少3619份存在「假充值」漏洞风险的代币,慢雾区认为,一般来说最好的方式是重发,并做好新旧代币映射。因为这类代币如果不这样做,会像个「定时炸弹」,你不可能期望所有中心化交易所、中心化钱包等平台方都能做好安全对接,一旦没做好这个「假充值」漏洞的判断,那损失的可是这些平台方。而如果平台方损失严重,对整个市场来说必然也是一种损失。
今早,「慢雾区」公众号发布了以太坊代币「假充值」漏洞细节披露及修复方案,以下为披露全文:
披露时间线
Index Coop推出首个以太坊收益型产品icETH:4月6日消息,加密货币指数社区Index Coop宣布将推出首个以太坊收益型产品icETH(Interest Compounding ETH)。该产品基于Set Protocol的杠杆流动性质押策略,可提供更高的ETH收益。[2022/4/6 14:06:55]
以太坊代币「假充值」漏洞影响面非常之广,影响对象至少包括:相关中心化交易所、中心化钱包、代币合约等。单代币合约,我们的不完全统计就有3619份存在「假充值」漏洞风险,其中不乏知名代币。相关项目方应尽快自查。由于这不仅仅是一个漏洞那么简单,这已经是真实在发生的攻击!出于影响,我们采取了负责任的披露过程,这次攻击事件的披露前后相关时间线大致如下:
2018/6/28慢雾区情报,USDT「假充值」漏洞攻击事件披露
2018/7/1慢雾安全团队开始分析知名公链是否存在类似问题
2018/7/7慢雾安全团队捕获并确认以太坊相关代币「假充值」漏洞攻击事件
Palantir漏洞允许FBI未经授权访问以太坊开发者Virgil Griffith的私人数据:联邦调查局使用的Palantir软件程序中的一个漏洞使未经授权的人员能够访问被监禁的以太坊开发者Virgil Griffith的私人数据。该漏洞意味着从他的推特和Facebook帐户中恢复的数据(通过联邦搜查令于2020年3月获得)被“至少四名FBI员工”在未经授权的情况下访问了一年多。Palantir是一家以向政府机构提供有争议的数据筛选软件而闻名的科技巨头。Palantir否认了这一说法,并在一份声明中指责FBI对该软件的使用不当。此前消息,Griffith被指控前往朝鲜并发表有关加密货币的演讲,而违反了国际制裁。(纽约邮报)[2021/8/27 22:39:58]
2018/7/8慢雾安全团队分析此次影响可能会大于USDT「假充值」漏洞攻击事件,并迅速通知相关客户及慢雾区伙伴
2018/7/9慢雾区对外发出第一次预警
Bitfly:应该建议为以太坊主网使用16GB的主存:Bitfly刚刚发布推文称,在过去的1500个epoch中,Medalla始终还没有达到最终状态,同时节点使用的内存比在正常网络中的还要多。8GB内存的用户很难保持同步。我们应该建议为以太坊主网使用16GB的RAM(主存)。[2020/10/20]
2018/7/10慢雾安全团队把细节同步给至少10家区块链生态安全同行
2018/7/11细节报告正式公开
漏洞细节
以太坊代币交易回执中status字段是0×1(true)还是0×0(false),取决于交易事务执行过程中是否抛出了异常。当用户调用代币合约的transfer函数进行转账时,如果transfer函数正常运行未抛出异常,该交易的status即是0×1(true)。
如图代码,某些代币合约的transfer函数对转账发起人(msg.sender)的余额检查用的是if判断方式,当balances<_value时进入else逻辑部分并returnfalse,最终没有抛出异常,我们认为仅if/else这种温和的判断方式在transfer这类敏感函数场景中是一种不严谨的编码方式。而大多数代币合约的transfer函数会采用require/assert方式,如图:
以太坊开发公司CasperLabs正开发新区块链以进行筹款计划:受以太坊股权证明计划的启发,以太坊开发公司CasperLabs正在开发一款新的区块链,参与者可以将代币存入该计划,以促进网络发展。从3月30日开始,CasperLabs代币(CLX)将通过BitMax交易所出售给散户投资者。当今年晚些时候主网启动时,交易所将自动为买家买入CLX,此后将强制执行90天锁定,以防止立即抛售。(Coindesk)[2020/3/25]
当不满足条件时会直接抛出异常,中断合约后续指令的执行,或者也可以使用EIP20推荐的if/elserevert/throw函数组合机制来显现抛出异常,如图:
我们很难要求所有程序员都能写出最佳安全实践的代码,这种不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,如果交易所仅判断如TxReceiptStatus是success就以为充币成功,就可能存在「假充值」漏洞。如图:
现场 | 以太坊行业峰会第一场圆桌 如何应对智能合约安全问题:金色财经9月8日现场报道,Loi Luu (KyberNetwork 创始人)、Shawn Douglass
(Amberdata 联合创始人兼CEO)、Jay Zhou (Loopring Protocol 联合创始人)、Alan Li (FBG X 研发部负责人)、Antoine Cote (Enuma Technologies 联合创始人兼CEO) 参与了讨论,嘉宾们一致认为,由于智能合约涉及资产交易且不可篡改,一旦发生安全问题将引起资产严重受损,关注智能合约安全是必要的。Loi Luu指出,区块链行业项目方,需要为开发者设立预警机制。开源代码要引入第三方检测,避免犯一些显而易见的错误。
Jay zhou认为,需要更有经验的开发者去开发用户易用、以人为本的合约,同时也有必要引入交叉审计。
Shawn Douglass说:“因为智能合约的不可篡改性,在程序员开发前,就必须告知开发者未来可能造成的后果,特别是在涉及资产的领域必须确保事前万无一失甚至考虑保险。”
Antoine Cote表示,可以在早期时候引入悬赏机制让黑客或者社区成员共同发现漏洞。大家讨论后得出共识,每一个开发者都必须在开发速度和安全性之间做一个平衡。在区块链领域,注重安全和责任心是必须的。[2018/9/8]
参考示例TX:
https://etherscan.io/tx/0x9fbeeba6c7c20f81938d124af79d27ea8e8566b5e937578ac25fb6c68049f92e
修复方案
除了判断交易事务success之外,还应二次判断充值钱包地址的balance是否准确的增加。其实这个二次判断可以通过Event事件日志来进行,很多中心化交易所、钱包等服务平台会通过Event事件日志来获取转账额度,以此判断转账的准确性。但这里就需要特别注意合约作恶情况,因为Event是可以任意编写的,不是强制默认不可篡改的选项:
emitTransfer(from,to,value);//value等参数可以任意定义
作为平台方,在对接新上线的代币合约之前,应该做好严格的安全审计,这种安全审计必须强制代币合约方执行最佳安全实践。
作为代币合约方,在编码上,应该严格执行最佳安全实践,并请第三方职业安全审计机构完成严谨完备的安全审计。
后记Q&A
Q:为什么我们采取这种披露方式?A:本质是与攻击者赛跑,但是这个生态太大,我们的力量不可能覆盖全面,只能尽我们所能去覆盖,比如我们第一时间通知了我们的客户,然后是慢雾区伙伴的客户,再然后是关注这个生态的安全同行的客户,最终不得不披露出细节。
Q:为什么说披露的不仅仅是漏洞,而是攻击?A:其实,以我们的风格,我们一般情况下是不会单纯去提漏洞,漏洞这东西,对我们来说太普通,拿漏洞来高调运作不是个好方式。而攻击不一样,攻击是已经发生的,我们必须与攻击者赛跑。披露是一门艺术,没什么是完美的,我们只能尽力做到最好,让这个生态有安全感。
Q:至少3619份存在「假充值」漏洞风险,这些代币该怎么办?A:很纠结,一般来说,这些代币最好的方式是重发,然后新旧代币做好「映射」。因为这类代币如果不这样做,会像个「定时炸弹」,你不可能期望所有中心化交易所、中心化钱包等平台方都能做好安全对接,一旦没做好这个「假充值」漏洞的判断,那损失的可是这些平台方。而如果平台方损失严重,对整个市场来说必然也是一种损失。
Q:有哪些知名代币存在「假充值」漏洞?A:我们不会做点名披露的事。
Q:有哪些交易所、钱包遭受过「假充值」漏洞的攻击?A:恐怕没人会公开提,我们也不会点名。
Q:这些代币不重发是否可以?A:也许可以,但不完美。不选择重发的代币要么很快是发布主网就做“映射”的,要么得做好通知所有对接该代币的平台方的持续性工作。
Q:为什么慢雾可捕获到这类攻击?A:我们有健壮的威胁情报网络,捕获到异常时,我们默认直觉会认为这是一种攻击。
Q:除了USDT、以太坊代币存在「假充值」漏洞风险,还有其他什么链也存在?A:暂时不做披露,但相信我们,「假充值」漏洞已经成为区块链生态里不可忽视的一种漏洞类型。这是慢雾安全团队在漏洞与攻击发现史上非常重要的一笔。
链闻ChainNews:提供每日不可或缺的区块链新闻。
原文作者:萌大大链闻编译:YY版权声明:文章为作者独立观点,不代表链闻ChainNews立场。
来源链接:www.8btc.com
本文来源于非小号媒体平台:
链闻速递
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626934.html
以太坊ETH风险安全漏洞
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
三家交易所在政府检查后遭黑客攻击,韩国惹众怒!
下一篇:
慢雾发布以太坊代币「假充值」漏洞细节披露及修复方案
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。