首页财经区块链 › 你也能在这12种数字货币上获利千万,智能合约暴漏洞

你也能在这12种数字货币上获利千万,智能合约暴漏洞

.wqpc_wechat_view *{max-width: 100%!important;box-sizing:
border-box!important;-webkit-box-sizing: border-box!important;
word-wrap: break-word!important;} 微信号 功能介绍
“4月22日中午,BEC美蜜遭遇黑客的毁灭性攻击,天量BEC从两个地址转出,引发了市场抛售潮。当日,BEC的价值几乎归零。”而攻击成功的原因,居然是因为BEC的某一段代码忘记使用safeMath方法,导致系统产生了整数溢出漏洞。利用这个漏洞,黑客可以通过转账的手段生成合约中不存在的代币,
并将这些无中生有的数字货币转入正常账户。这些凭空产生的代币在使用上与真实代币没有差别。”之后的事情大家都看到了,BEC、SMT都爆出“BatchOverFlow”安全隐患,多家交易所都暂停了基于以太坊ERC-20发行的Token的充值提币功能。还有人爆出ERC-20合约还有其他漏洞:“ERC20智能合约设计,可能存在双漏洞,目前已知的溢出漏洞,以及还未被披露的缩量漏洞。溢出漏洞是被利用超发过多不存在的token,而缩量漏洞则是将发行数目可削减为负数。当某一Token发行数量为10亿,黑客可将发行数量修改为-10亿,投资人所持有的Token一旦提至钱包,钱包中数量会立刻显示成为负数,直到该漏洞被修复后,再转入相同数量币种才能为正常显示。举例来明:从交易所转入钱包50个代币,钱包会显示为-50个,而不是50个,直到该漏洞修复后,再转入50个才能正常为零,意味着前后将损失100个代币。”这些相关事件给投资人们对市场刚刚建立起来的信心造成了巨大打击。但是,仔细分析代码和整个事件的经过,我想说:可以不相信ERC20,但一定要相信以太坊。以太坊的力量有多大,各位这两年也感受到了。可以不相信任何一个ERC20项目,但一定要相信以太坊。为什么?以太坊已经是区块链上最大最强的生态,已经经历了市场的洗礼!首先,国外有团队对所有erc20代币合约进行了扫描,最终发现(除了BEC和SMT以外)只有10个合约存在此问题,都是没有在交易所交易的,所以这个比例是相当小的。其次,目前市场上的区块链项目种类繁多,质量参差不齐,以BEC为例,其官网(beauty.io)和白皮书中的项目背景信息均比较粗糙,而其白皮书中也没有在做任何团队介绍,只是模糊的说有丰富的区块链开发经验。这本身就说明这一团队开发能力差,写出有问题的代码也不奇怪。但这属于个别项目能力问题,不能以偏概全怀疑整个以太坊生态。最后,2016年6月17日,区块链业界最大的众筹项目TheDAO(被攻击前拥有1亿美元左右资产)遭到攻击,导致300多万以太币资产被分离出TheDAO
资产池。2017年7月19日,多重签名钱包Parity1.5及以上版本出现安全漏洞,15万个以太坊ETH被盗,共价值3000万美元。这两次事件对以太坊的影响非常大,但却从未阻止以太坊总市值创新高,价格不断上扬。我相信这是坚定看好以太坊的人数占更多所带来的积极效果。持有有技术含量数字货资产要有拿到海枯石烂的决心。这期间被市场的波动所迷惑而放弃的人一定会有,但我希望不是你。老赵读币:
关于此次ERC
Token被黑客攻击,老赵认为是一次正常的事件,世界上是没有绝对安全的系统,在中心化系统中连美国五角大楼都遭到黑客攻击过,各种网站被黑更是家常便饭,这是一个此消彼长的过程,在博弈中不断发现BUG,然后debug,填补漏洞,在区块链世界中也是一样的。基于以太坊的项目出现的安全问题多数可能是由于自己的代码问题导致,而不是底层平台的问题,当然随着生态的不断扩大,越来越多的黑客会把黑手伸向区块链,安全问题不容忽视!
如果因为此次事件导致市场产生大的波动,却是提供了一个上车的机会。来源|
区块链早餐

.wqpc_wechat_view *{max-width: 100%!important;box-sizing:
border-box!important;-webkit-box-sizing: border-box!important;
word-wrap: break-word!important;} 微信号 功能介绍
昨日中午,黑客利用以太坊 ERC-20 智能合约中 BatchOverFlow
漏洞中数据溢出的漏洞攻击蔡文胜旗下美图合作的公司美链 BEC
的智能合约,成功地向两个地址转出了天量级别的 BEC
代币,导致市场上海量BEC被抛售,该数字货币价值几近归零,给 BEC
市场交易带来了毁灭性打击。区块链安全公司 PeckShield 目前已经发现除了 BEC
Token 之外,还有超过 12 多个项目 Token 的智能合约中存在 BatchOverFlow
整数溢出漏洞,黑客可以利用这一漏洞转账生成「不存在」的虚拟货币并进行交易获利。被黑客攻击的
BEC 交易量数小时内形成价格「瀑布」,币值归零。目前 BEC
官方团队已经暂停一切交易和转账,将对 Okex
交易所的交易回滚到黑客充币之前。黑客绕过验证后生成“李鬼”币PeckShield
团队今日凌晨发布安全报告,提到黑客利用 in-the-wild 手段抓取以太坊 ERC-20
智能合约中的「BatchOverFlow」这个整数溢出漏洞来进行攻击。利用这个漏洞,黑客可以通过转账的手段生成合约中不存在的、巨量的
Token 并将其转入正常账户,账户中收到的 Token
可以正常地转入交易所进行交易,与真的 Token 无差别。PeckShield
的安全预警报告中提到了该漏洞的具体细节,这个漏洞出现在 BEC 智能合约的
batchTransfer 函数当中,代码如下图所示。大家请注意第 257 行,cnt 和
_value 的计算结果生成了局部变量。第二个参数,即
_value,,可以是一个任意的 256
字节整数,就比如是:0x8000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000(63
个 0)。通过将两个 _receivers 注入到 batchTranser(),再加上这个极其大的
_value,我们就能使得量溢出,将其 amount 的量变成 0。通过将量回归到
0,攻击者就可以绕过 258 行到 259 行的合理性检测,使得 261
行的差值变得不再相关。最后,出现了一个非常有趣的结果:你们可以看 262
行到 265 行,两个 receriver 的余额上增加了超级大的
_value,而这一切都不会花费攻击者钱包里哪怕一毛钱!随后 PeckShield
团队利用自动化系统扫遍了以太坊智能合约并对它们进行分析。结果发现,有超过
12 个 ERC-20 智能合约都存在 BatchOverFlow
安全隐患。为了验证该漏洞存在的真实性,PeckShield
团队对其中一个智能协议进行了相似的攻击(该合约中的代币并不在任何交易所交易,所以不会出现
BEC 的惨剧)。PeckShield 团队还对一个未在交易所上线的以太坊宠物游戏
CryptoBots 进行了 BatchOverFlow 安全性攻击,并成功地在该协议上「生成」了
57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000
枚代币 CBTB(你没看错,就是这么多 0 )。总币数已经超过合约规定的 2 万枚
CBTB。CryptoBots
这款游戏目前正在以太坊上进行交易,但通过数据查看后发现该游戏的实际游玩人数并不高,只有寥寥几十人在玩。PeckShield
创始人蒋旭宪教授表示,「理论上可以把这个游戏中所有的道具都买下来。」除了
BEC 和
CryptoBots(CBTB)两个智能合约之外,还有十余个智能合约存在同样的漏洞,其中也包括已经在交易所上进行交易币种。出于安全考虑,目前
PeckShield
已经与相关项目团队进行了联系,暂时不能曝光这批项目的名称。区块链安全难道只靠回滚?BEC
智能合约出现这个漏洞之后,黑客在 2 小时后开始往 OKEx
的地址充币进行交易,因为市场上出现大量未知来源的
Token,市场上出现恐慌心理,OKEx 交易所上的持币者开始抛售 BEC Token,导致
BEC 价格持续下跌,币值几乎归零。下图中我们可以看到黑客先是试探性地往
OKEx 中转入 100 万的 BEC Token,黑客发现成功转入卖出后,又分 2 次转入了
1000 万的 BEC Token,发现两次都成功,便转入了 1 亿枚 BEC Token。但这 1
亿枚 BEC Token 转入后,OKEx 已经发现问题并停止了 BEC
的交易。按照转入记录,预计黑客已经卖出了最少 1100 万枚
BEC,折合昨日售价约 1887 万人民币。下午 4 点 12 分,OKEx
发布声明中止了相关交易。BEC 团队也公告表示将与 OKEx
交易所合作回滚到黑客转入 Token 之前的数据以保护投资者的权益。PeckShield
团队认为,因为以太坊区块链上所谓「代码即一切」的原则精神的存在,导致目前没有有效的安全防护手段来修复这些问题,而且因为
Token
交易背后牵扯着巨大的利益,是无法在多个交易所进行同步防护的。因为中心化交易所只是对
Token
进行记账式的交易,项目团队与交易所配合之后回滚是可以一定程度上保护投资者利益的,但是如果在去中心化交易所进行交易那么投资者的损失将无法挽回,同时,利用交易所反应的时间差,黑客也可以实现在多个交易所套利。知乎作者爬虫认为该漏洞很容易解决,只需要对计算结果进行
safeMath 的安全验证就可以,同时表示区块链智能合约代码需要测试、需要
review,必要时可以请专门做代码审计的公司来进行测试。前有 OKEx
回滚期货交易,后有 OKEx 回滚 BEC
交易,为什么区块链上的安全问题总是要靠回滚来解决?如果没法从根本上解决漏洞,那么受害的不仅仅是投资者,虚拟货币生态中的所有参与者都将遭受巨量损失。

转载本站文章请注明出处:银河娱樂城 http://www.51minimoto.com/?p=1128

上一篇:

下一篇:

相关文章