以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

OIN:白帽黑客samczsun:針對NFT資產的攻擊會越來越頻繁

Author:

Time:1900/1/1 0:00:00

注:原文作者是擁有“審計上帝”之稱的白帽黑客samczsun,同時他也是Paradigm的研究合伙人,其最近出手拯救了BitDAOMISO荷蘭拍賣資金池中的3.5億美元資產,而在這篇文章中,他提醒了關于NFT代幣標準的潛在安全風險,他還預測稱,隨著ERC-721和ERC-1155代幣標準變得越來越流行,針對NFT的攻擊很可能會越來越頻繁。

如果你從事軟件工程方面的工作,很可能你聽說過至少一條軟件工程原則。雖然我不主張嚴格遵守每一條原則,但有一些確實是值得關注的。

我今天要講的就是最小驚訝原則,它有一個奇特的名字,但卻是一個非常簡單的想法。它所說的是,當呈現聲稱要做某件事的代碼時,大多數用戶都會假設它是如何完成這件事的。因此,作為開發人員,你的工作是編寫符合這些假設的代碼,這樣你的用戶就不會感到意外。

這是一個很好的原則,因為開發人員喜歡對事物進行假設。如果你導出一個名為calculateScore(GameState)?的函數,很多人就會假設該函數只會從游戲狀態中讀取。如果你還改變了游戲狀態,你會使得很多人面臨困惑的狀態,他們試圖弄清楚為什么他們的游戲狀態會隨機被破壞。即使你把它放在文檔中,仍然不能保證人們會看到它,所以最好首先確保你的代碼不會令人驚訝。

OpenSea向兩名發現漏洞的白帽黑客各獎勵10萬美元賞金:9月28日消息,OpenSea 已向兩名發現漏洞的白帽黑客獎勵 20 萬美元賞金。其中一人是安全公司 Zellic 的安全專家兼首席營銷官 Corben Leo,其通過漏洞賞金平臺 HackerOne 發現了一個關鍵的 OpenSea 漏洞,并表示該漏洞可能會被利用以盜取資產;另一名白帽黑客名為 Nix,未透漏有關漏洞的信息。兩人各獲得了 10 萬美元的賞金獎勵。OpenSea 發言人證實了賞金的真實性并表示已經發布了針對漏洞的補丁。(The Block)[2022/9/28 22:37:27]

“6小時的調試工作,可以為你們節省5分鐘的文檔閱讀時間。”

越安全越好,對嗎?

早在2018年初,當ERC-721標準被起草出來時,有人就提出了實施轉賬安全性?的建議,以確保代幣不會被卡在不用于處理代幣的接受者合約中。為此,提案作者修改了transfer函數的行為,以檢查接收方是否能夠支持代幣轉賬。他們還引入了unsafeTransfer函數,如果發送者愿意,該函數將繞過這個檢查。

Nomad:已追回1660萬美元資金,其中白帽黑客主動歸還1120萬美元:8月4日消息,Nomad在推特上公布Nomad Bridge資金返還情況,總計1120萬美元返還至官方地址,具體如下:

- ???.eth (400萬美元);

- 0xE3F40743cc18fd45D475fAe149ce3ECC40aF68c3(340萬美元);

- darkfi.eth (190萬美元);

- returner-of-beans.eth(100萬美元);

- anime.eth(90萬美元)。

Nomad表示,截至目前總共追回1660萬美元資金。希望退還資金的白帽黑客請將ETH/ ERC-20代幣發送到官方以太坊錢包地址0x94A84433101A10aEda762968f6995c574D1bF154。[2022/8/4 5:15:06]

然而,由于擔心向后兼容性,這個函數在隨后的提交中被重命名了。這使得ERC-20和ERC-721代幣的transfer函數表現相同。但是,現在需要將接收方檢查轉移到其他地方。因此,標準作者就引入了safe類函數:safeTransfer以及safeTransferFrom。

跨鏈橋Wormhole向白帽黑客satya0x支付1000萬美元漏洞賞金:金色財經消息,跨鏈橋Wormhole今日發布博客表示,在2月24日,化名satya0x的白帽黑客披露了以太坊Wormhole核心橋接合約中的一個嚴重漏洞,這個錯誤是一個可升級的代理實現自毀錯誤,有助于防止潛在的用戶資金鎖定。

Wormhole在報告的同一天驗證并修復了問題,沒有任何用戶資金損失。為此,Wormhole向satya0x支付了創紀錄的1000萬美元的漏洞賞金。[2022/5/21 3:31:33]

這是一個關于正當性問題的解決方案,因為有許多ERC-20代幣被意外轉移到從未期望收到代幣的合約的例子。而在起草ERC-1155標準時,提案作者從ERC-721標準汲取了靈感,不僅在轉賬時,而且在鑄造也納入了接收方檢查,這一點也不足為奇。

在接下來的幾年里,這些標準大多處于休眠狀態,而ERC-20代幣標準保持了它的流行狀態,而最近gas成本的飆升,以及社區對NFT興趣的增強,自然而然導致開發者越來越多地使用ERC-721和ERC-1155代幣標準。有了這些新的興趣,我們應該慶幸這些標準的設計考慮了安全性,對嗎?

白帽黑客提醒潛在漏洞,Coinbase一度暫停高級交易服務:2月12日消息,白帽黑客Tree of Alpha周五通知加密貨幣交易所Coinbase其交易系統存在漏洞,后者暫停其新的高級交易平臺上的交易。

Tree of Alpha在推特上表示發現“潛在的市場攻擊”漏洞并將提交一份HackerOne報告后,引起了Coinbase領導層的注意。Tree of Alpha表示,“這個問題很敏感,可能會讓惡意用戶以任意價格發送所有Coinbase訂單。”不過,沒有實際的Coinbase存儲(冷存儲或其他)受到影響。

在其最初發布推文的兩個小時內,Coinbase Support推特賬號宣布,由于技術原因,Coinbase正在其新的高級交易平臺上禁用交易。雖然該服務仍可訪問,但用戶將能夠取消現有訂單但不能下新訂單。高級交易服務僅適用于部分受眾。UTC時間2月11日23點左右,Coinbase發推稱,“已重新啟用零售高級交易的全面服務”。

Coinbase首席執行官Brian Armstrong在推特上公開表示感謝Tree of Alpha的幫助。(CoinDesk)[2022/2/12 9:47:20]

越安全越好,真的嗎?

白帽黑客:2025年區塊鏈游戲市場規模可能會增長到397億美元:1月23日消息,白帽黑客ninjagazden發推表示,區塊鏈游戲的市場規模已從零價值增長到2021年的30億美元。到2025年,它可能會增長到397億美元,占據傳統收入1511億美元的視頻游戲市場的很大一部分。[2022/1/23 9:08:07]

Ok,但對于轉帳和鑄造來說,安全意味著什么呢?不同的當事人對安全有不同的解釋。對于開發人員來說,一個安全函數可能意味著它不包含任何bug或引入額外的安全問題。而對于用戶來說,這可能意味著它包含額外的護欄,以保護他們不被意外射中自己的腳。

事實證明,在這種情況下,這些函數更多的是后者,而較少會是前者。這是特別令人遺憾的,因為在transfer和safeTransfer函數之間進行選擇時,你為什么不選擇安全的那個函數呢?名字都體現出來了!

好吧,其中的一個原因可能是我們的老朋友reentrancy,或者我一直在努力將其重命名為:不安全的外部調用。回想一下,如果接收方是攻擊者控制的,則任何外部調用都可能不安全,因為攻擊者可能會導致你的合約轉換為未定義狀態。根據設計,這些“安全”函數執行對代幣接收者的外部調用,通常在鑄造或轉移期間由發送者控制。換句話說,這實際上是不安全外部調用的教科書示例。

但是,你可能會問自己,如果允許接收方合約拒絕他們無法處理的轉賬,那最壞的后果是什么?好吧,讓我通過兩個案例研究來回答這個問題。

例子1:Hashmasks

Hashmasks是一個供應有限的NFT頭像項目,用戶每次交易最多可以購買20個maskNFT。下面是購買mask的函數:

你可能覺得這個函數看起來非常合理。然而,正如你可能已經預料到的,在?_safeMint調用中隱藏著一些險惡的東西。讓我們來看看。

為了安全性,這個函數對token的接受者執行了一次callback回調,以檢查他們是否愿意接受轉賬。然而,我們是token的接收者,這意味著我們剛剛得到了一次callback回調,在這個點上我們可以做任何我們想做的事情,包括再次調用mintNFT函數。如果我們這樣做,我們將在僅鑄造了一個mask后重調用該函數,這意味著我們可以請求再鑄造另外19個mask。這導致最終鑄造出了39個maskNFT,盡管規則允許鑄造的最大數量只有20個。

例子2:ENS域名封裝器

最近,來自ENS的NickJohnson聯系了我,他想讓我看看他們正在進行的ENS域名封裝器工作。這個域名封裝器允許用戶用新的ERC-1155token代幣化他們的ENS域名,這提供了對細粒度權限以及更一致的API的支持。

概括地說,為了封裝任何ENS域名,你必須首先批準域名封裝器以訪問你的ENS域名。然后,你調用wrap(bytes,address,uint96,address),它既為你鑄造一個ERC-1155token,也負責管理底層的ENS域名。

下面就是這個wrap函數,它相當簡單。首先,我們調用_wrap,它執行一些邏輯并返回哈希域名。然后,我們確保交易發送方確實是ENS域名的所有者,然后再接管該域名。請注意,如果發送方不擁有底層的ENS域名,則整個交易應還原,撤銷在_wrap中所做的任何更改。

下面是_wrap函數本身,這里沒有什么特別的。

不幸的是,正是這個?_mint函數,它可能會給毫無戒心的開發者帶來可怕的驚喜。ERC-1155規范規定,在鑄造token時,應咨詢接收者是否愿意接受該token。在深入研究庫代碼后,我們發現情況確實如此。

但這到底對我們有什么好處呢?好的,我們再一次看到了一個不安全的外部調用,我們可以用它來執行重入攻擊。具體地說,請注意,在callback回調期間,我們擁有了代幣ENS域名的ERC-1155token,但域名封裝器尚未驗證我們擁有基礎ENS域名本身。這使我們能夠在不實際擁有ENS域名的情況下對其進行操作。例如,我們可以要求域名封裝器解開我們的域名,燃燒掉我們剛剛鑄造的token并獲取底層的ENS域名。

現在我們擁有了底層的ENS域名,我們可以用它做任何我們想做的事情,比如注冊新的子域名或者設置解析器。完成后,我們只需退出callback回調。域名封裝器將和底層ENS域名的當前所有者交互,并完成交易。就像那樣,我們已經取得了域名封裝器被批準用于的任何ENS域名的臨時所有權,并對其進行了任意更改。

結論

令人驚訝的代碼可能會以災難性的方式破壞事物。在本文的兩個案例下,開發人員合理地假設safe函數類可以安全地使用,卻無意中增加了他們的攻擊面。隨著ERC-721和ERC-1155代幣標準變得越來越流行及廣泛,這類攻擊情況很可能會越來越頻繁。開發人員需要考慮使用safe類函數的風險,并確定外部調用如何與他們編寫的代碼進行交互。

Tags:ENSCOIOINCOINens幣今日行情價格coinbase下載鏈接txbcoincoinweb交易所合法嗎

fil幣價格今日行情
TOP:金色觀察丨為什么不能“簡單”復制粘貼NFT?

金色財經區塊鏈8月10日訊??眾所周知,當我們購買一件實體藝術品時,得到的是一個實物,我們可以將購買到的名畫放在墻上并欣賞這個實體,并且所有者有權允許其他人展示畫作副本.

1900/1/1 0:00:00
CRYP:Visa 宣布購買 CryptoPunk 7610 入局 NFT 商業世界

原標題:Visa以15萬美元購買CryptoPunk7610首次涉足「NFT商業」 摘要: Visa宣布購買CryptoPunk7610,入局NFT商業世界.

1900/1/1 0:00:00
CEO:推特CEO:我正嘗試開采比特幣

推特和Square首席執行官杰克·多爾西周二發帖稱,他正在嘗試開采比特幣。在回應另一位用戶關于比特幣挖礦的推文時,多爾西寫道,“我也在嘗試使用CompassMining進行挖礦.

1900/1/1 0:00:00
UNI:從Uniswap Discord社區看DeFi鏈下治理的三大難題

Unsiwap作為DeFi市場最具代表性的項目,其治理過程也吸引了外界的廣泛關注。近期,TobyShorin等人在以太坊基金會與Uniswap贈款計劃的支持下,對UniswapDiscord社區.

1900/1/1 0:00:00
AND:“元宇宙”爆發、代幣大賣 是互聯網的資本狂歡還是智商稅?

在球星卡火爆之后,數字球星卡橫空出世。NBATopShot市場上,勒布朗詹姆斯的卡牌拍出了20.8萬美元的天價。NBATopShot是基于區塊鏈的NBA數字收藏品平臺.

1900/1/1 0:00:00
比特幣交易:比特幣轉賬為什么一定要等6個確認才能到賬?

很多剛剛接觸區塊鏈不久的小伙伴,可能看到“比特幣交易需要6個區塊確認”會很疑惑。為什么需要6個區塊鏈確認呢?是指全網上的6個比特幣礦工確認嗎?今天,大白就給大家解釋一下其中的原理.

1900/1/1 0:00:00
ads