近日,據慢霧區消息,以太坊代幣「假充值」漏洞影響面非常之廣,影響對象至少包括:相關中心化交易所、中心化錢包、代幣合約等。
慢霧區透露,僅代幣合約,據不完全統計就有3619份存在「假充值」漏洞風險,其中不乏知名代幣。慢霧安全團隊分析此次影響可能會大于USDT「假充值」漏洞攻擊事件,由于這不僅是漏洞,而是真實發生的攻擊,相關項目方應盡快自查。
對于至少3619份存在「假充值」漏洞風險的代幣,慢霧區認為,一般來說最好的方式是重發,并做好新舊代幣映射。因為這類代幣如果不這樣做,會像個「定時炸彈」,你不可能期望所有中心化交易所、中心化錢包等平臺方都能做好安全對接,一旦沒做好這個「假充值」漏洞的判斷,那損失的可是這些平臺方。而如果平臺方損失嚴重,對整個市場來說必然也是一種損失。
今早,「慢霧區」公眾號發布了以太坊代幣「假充值」漏洞細節披露及修復方案,以下為披露全文:
披露時間線
Llama Pay已在以太坊和Avalanche網絡上開啟測試:7月25日消息,DeFi Llama旗下流支付協議Llama Pay與智能合約測試協議Ante Protocol AF達成合作,已在以太坊和Avalanche網絡上開啟測試。此前報道,6月份LlamaPay已部署至Metis網絡。[2022/7/25 2:35:36]
以太坊代幣「假充值」漏洞影響面非常之廣,影響對象至少包括:相關中心化交易所、中心化錢包、代幣合約等。單代幣合約,我們的不完全統計就有3619份存在「假充值」漏洞風險,其中不乏知名代幣。相關項目方應盡快自查。由于這不僅僅是一個漏洞那么簡單,這已經是真實在發生的攻擊!出于影響,我們采取了負責任的披露過程,這次攻擊事件的披露前后相關時間線大致如下:
2018/6/28慢霧區情報,USDT「假充值」漏洞攻擊事件披露
2018/7/1慢霧安全團隊開始分析知名公鏈是否存在類似問題
以太坊所有公共測試網均已上線Infura ITX功能:1月13日,Ethereum和IPFS的API服務供應商Infura官方發推稱,Infura Transactions(ITX)功能現已上線以太坊所有的公共測試網,即該功能可在Rinkeby、Kovan、Ropsten和Goerli上使用。注:Infura Transactions(ITX)是發送以太坊交易的一種簡化方法,可幫助開發人員簡化Gas費管理相關復雜流程。[2021/1/13 16:02:42]
2018/7/7慢霧安全團隊捕獲并確認以太坊相關代幣「假充值」漏洞攻擊事件
2018/7/8慢霧安全團隊分析此次影響可能會大于USDT「假充值」漏洞攻擊事件,并迅速通知相關客戶及慢霧區伙伴
2018/7/9慢霧區對外發出第一次預警
2018/7/10慢霧安全團隊把細節同步給至少10家區塊鏈生態安全同行
2018/7/11細節報告正式公開
觀點:以太坊上的DeFi或正蠶食CeFi大量份額:CoinDesk發文稱,Glassnode數據表明,就以太坊而言,去中心化金融(DeFi)可能正蠶食中心化金融(CeFi)的大量份額。數據顯示,截至2020年12月9日,以太坊上中心化交易所ETH存款的費用已從2017年10月底的約26%降至不足1%。在過去的幾個月里,幾乎所有涉及中心化交易所的交易費用都用于ETH取款。[2020/12/12 14:58:06]
漏洞細節
以太坊代幣交易回執中status字段是0×1(true)還是0×0(false),取決于交易事務執行過程中是否拋出了異常。當用戶調用代幣合約的transfer函數進行轉賬時,如果transfer函數正常運行未拋出異常,該交易的status即是0×1(true)。
如圖代碼,某些代幣合約的transfer函數對轉賬發起人(msg.sender)的余額檢查用的是if判斷方式,當balances<_value時進入else邏輯部分并returnfalse,最終沒有拋出異常,我們認為僅if/else這種溫和的判斷方式在transfer這類敏感函數場景中是一種不嚴謹的編碼方式。而大多數代幣合約的transfer函數會采用require/assert方式,如圖:
Circle向以太坊網絡新增發1566萬枚USDC:據DAppTotal.com穩定幣專題頁面數據顯示:10月21日23時01分 ,USDC發行方Circle向以太坊網絡新增發1筆價值1,566萬美元的USDC, 塊高度為:11100206,交易哈希值為:0xb8fa1cc43c5d827208a45bd86a7efba70b0575a29314feebc349f0cea6530083 。截至目前,Circle在以太坊網絡上的ERC20 USDC總發行量已達2,795,864,274枚。[2020/10/22]
當不滿足條件時會直接拋出異常,中斷合約后續指令的執行,或者也可以使用EIP20推薦的if/elserevert/throw函數組合機制來顯現拋出異常,如圖:
我們很難要求所有程序員都能寫出最佳安全實踐的代碼,這種不嚴謹的編碼方式是一種安全缺陷,這種安全缺陷可能會導致特殊場景下的安全問題。攻擊者可以利用存在該缺陷的代幣合約向中心化交易所、錢包等服務平臺發起充值操作,如果交易所僅判斷如TxReceiptStatus是success就以為充幣成功,就可能存在「假充值」漏洞。如圖:
動態 | V神建議通過混合器匿名化以太坊交易:據coindesk報道,在一篇新的HackMD帖子中,以太坊創始人V神詳細介紹了一種設計,以幫助模糊以太坊用戶在區塊鏈上的活動。更具體地說,V神提出了一種“最小混合器設計”,旨在在發送固定量的ETH時模糊用戶地址。通過在以太坊上創建兩個智能合約,即 “混合器和轉發器注冊表” ,用戶可以選擇通過所謂的匿名集在以太坊區塊鏈上進行私人交易。[2019/5/24]
參考示例TX:
https://etherscan.io/tx/0x9fbeeba6c7c20f81938d124af79d27ea8e8566b5e937578ac25fb6c68049f92e
修復方案
除了判斷交易事務success之外,還應二次判斷充值錢包地址的balance是否準確的增加。其實這個二次判斷可以通過Event事件日志來進行,很多中心化交易所、錢包等服務平臺會通過Event事件日志來獲取轉賬額度,以此判斷轉賬的準確性。但這里就需要特別注意合約作惡情況,因為Event是可以任意編寫的,不是強制默認不可篡改的選項:
emitTransfer(from,to,value);//value等參數可以任意定義
作為平臺方,在對接新上線的代幣合約之前,應該做好嚴格的安全審計,這種安全審計必須強制代幣合約方執行最佳安全實踐。
作為代幣合約方,在編碼上,應該嚴格執行最佳安全實踐,并請第三方職業安全審計機構完成嚴謹完備的安全審計。
后記Q&A
Q:為什么我們采取這種披露方式?A:本質是與攻擊者賽跑,但是這個生態太大,我們的力量不可能覆蓋全面,只能盡我們所能去覆蓋,比如我們第一時間通知了我們的客戶,然后是慢霧區伙伴的客戶,再然后是關注這個生態的安全同行的客戶,最終不得不披露出細節。
Q:為什么說披露的不僅僅是漏洞,而是攻擊?A:其實,以我們的風格,我們一般情況下是不會單純去提漏洞,漏洞這東西,對我們來說太普通,拿漏洞來高調運作不是個好方式。而攻擊不一樣,攻擊是已經發生的,我們必須與攻擊者賽跑。披露是一門藝術,沒什么是完美的,我們只能盡力做到最好,讓這個生態有安全感。
Q:至少3619份存在「假充值」漏洞風險,這些代幣該怎么辦?A:很糾結,一般來說,這些代幣最好的方式是重發,然后新舊代幣做好「映射」。因為這類代幣如果不這樣做,會像個「定時炸彈」,你不可能期望所有中心化交易所、中心化錢包等平臺方都能做好安全對接,一旦沒做好這個「假充值」漏洞的判斷,那損失的可是這些平臺方。而如果平臺方損失嚴重,對整個市場來說必然也是一種損失。
Q:有哪些知名代幣存在「假充值」漏洞?A:我們不會做點名披露的事。
Q:有哪些交易所、錢包遭受過「假充值」漏洞的攻擊?A:恐怕沒人會公開提,我們也不會點名。
Q:這些代幣不重發是否可以?A:也許可以,但不完美。不選擇重發的代幣要么很快是發布主網就做“映射”的,要么得做好通知所有對接該代幣的平臺方的持續性工作。
Q:為什么慢霧可捕獲到這類攻擊?A:我們有健壯的威脅情報網絡,捕獲到異常時,我們默認直覺會認為這是一種攻擊。
Q:除了USDT、以太坊代幣存在「假充值」漏洞風險,還有其他什么鏈也存在?A:暫時不做披露,但相信我們,「假充值」漏洞已經成為區塊鏈生態里不可忽視的一種漏洞類型。這是慢霧安全團隊在漏洞與攻擊發現史上非常重要的一筆。
鏈聞ChainNews:提供每日不可或缺的區塊鏈新聞。
原文作者:萌大大鏈聞編譯:YY版權聲明:文章為作者獨立觀點,不代表鏈聞ChainNews立場。
來源鏈接:www.8btc.com
本文來源于非小號媒體平臺:
鏈聞速遞
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3626934.html
以太坊ETH風險安全漏洞
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
三家交易所在政府檢查后遭黑客攻擊,韓國惹眾怒!
下一篇:
慢霧發布以太坊代幣「假充值」漏洞細節披露及修復方案
路透社9月5日報道,對歐盟各國的加密貨幣業實施清晰、統一的監管指導方針的呼吁,將呈交給于本周舉行的歐盟財長會議.
1900/1/1 0:00:00大西洋兩岸領先的加密貨幣交易所和錢包供應商三分之二都沒有對客戶進行身份驗證。最近一項針對注冊程序的研究結果顯示,大多數受到調查的平臺都沒有達到即將生效的新歐洲反洗錢法令的要求.
1900/1/1 0:00:00文章來源:慢霧科技作者:唐飛虎本文盤點了近期EOSDapps上影響較大的安全事件以及漏洞解讀,同時以開發者的角度對EOS生態和「CodeisLaw」進行點評,嚴格執行Codeislaw.
1900/1/1 0:00:009月4日,普華永道發布了一年一度的金融科技調查報告。調查結果顯示,超半數的受訪傳統金融機構正通過不同形式自主進行金融科技的研發和應用,或選擇與金融科技公司建立多樣化的合作模式.
1900/1/1 0:00:00近日,著名科技網站BleepingComputer公布了監測到的黑客針對加密貨幣的攻擊行為。報告稱,黑客利用名為「剪貼板劫持者」的惡意軟件,試圖對230個萬比特幣錢包發起攻擊,通過替換錢包地址來.
1900/1/1 0:00:00金色財經比特幣5月21日訊派對時間已到,所有邀請函都分發出去了,音樂開始響起,冰箱塞滿食物和飲料,浴缸里浸入了冰塊,所有準備工作就緒!但是:客人還沒到.
1900/1/1 0:00:00