以太坊令牌“假充值”漏洞的详细信息显示,此

发布时间:2019-03-14 01:47 来源:未知 作者:8BSaebzv 编辑:admin
更多
.wqpc_wechat_view * {max-width: 100%!important; box-sizing: border-box!important; -webkit-box-sizing: border-box!important;自动换行: break-word!important;}

微信号

功能介绍

最近,根据慢雾区的消息,以太坊令牌的“假充值”漏洞的影响非常广泛。受影响的各方至少包括:相关的集中交换,集中式钱包和令牌合同。

根据慢雾区,只有令牌合同,据不完全统计,有3,619个“假充值”的风险,包括许多知名的代币。慢雾安全团队分析说,影响可能大于USDT“假充值”漏洞攻击。由于这不仅是一个漏洞,而且是一次真正的攻击,相关的项目方应该尽快检查。

对于至少有3,619个具有“假充值”漏洞风险的令牌,Slow Fog认为最好的方法通常是重新发送和映射新旧令牌。 “因为这样的代币不会这样做,它们就像一个”定时炸弹“。你不能指望所有的集中交换,集中式钱包和其他平台都能很好地对接。一旦这种”虚假充值“是没有做到。“漏洞的判断,损失是平台方面。如果平台方损失严重,那么整个市场也是亏损。“

今天早上,“慢雾区”公众号公布了以太坊“虚假充值”漏洞披露和修复计划的细节。以下是完整的披露:

披露时间线

以太坊令牌“假充值”漏洞具有广泛的影响,包括至少相关的集中交换,集中式钱包和令牌合同。在单硬币合同中,有3,619个关于“假充值”风险的不完全统计数据,并且有许多众所周知的代币。有关项目方应尽快检查。由于这不仅仅是一个漏洞,它已经是一个真正的攻击!为了产生影响,我们采用了负责任的披露流程。披露此次攻击前后的相关时间表如下:

2018/6/28慢雾区情报,USDT“假充值”漏洞攻击披露
2018/7/1慢雾安全小组开始分析知名公共链中是否存在类似问题 2018/7/7慢雾安全团队捕获并确认与以太坊相关的令牌“假充值”漏洞
2018/7/8慢雾安全小组分析说,影响可能大于USDT“假充值”漏洞攻击并及时通知相关客户和缓慢雾区合作伙伴
2018/7/9慢雾区向外界发出第一个警告
2018/7/10慢雾安全团队将细节与至少10个区块链生态安全同行同步
2018/7/11详细报告正式公布

漏洞细节

以太坊令牌事务接收中的状态字段是0×1(真)还是0×0(假)取决于在事务事务期间是否抛出异常(例如使用require/assert/revert/throw)。 。当用户调用令牌合约的转移功能来转移账户时,如果转移功能正常运行而没有抛出异常,则交易状态为0×1(真)。

如代码所示,某些令牌契约的传递函数使用if判断方法来平衡传输启动器(msg.sender)。当余额[msg.sender]< _value,它进入else逻辑并返回false。最后,没有抛出异常。我们认为只有if/else的适度判断才是敏感函数场景中不精确的编码方法,如传输。大多数令牌契约的传递函数将使用require/assert方法,如图所示:

当条件不满足时,将直接抛出异常,合同的后续指令的执行将被中断,或者EIP 20推荐的if/else + revert/throw函数组合机制可用于显示抛出的异常,如图所示:

要求所有程序员编写最佳安全实践的代码是很困难的。这种不精确的编码是一个安全漏洞,可能导致特殊情况下的安全问题。如果交换机仅判断TxReceipt状态是成功的(即,上述状态),则攻击者可以使用与缺陷的令牌合同来启动对诸如集中交换,钱包等服务平台的再充值操作。是0×1(真)情况)如果您认为货币成功,可能会出现“假充值”漏洞。图:

参考示例TX:

https://etherscan.io/tx/0x9fbeeba6c7c20f81938d124af79d27ea8e8566b5e937578ac25fb6c68049f92e

修复方案

除了判断交易交易成功之外,还应判断两次重新填充的钱包地址的余额是否准确增加。实际上,可以通过事件事件日志执行第二次判断。许多集中交换,钱包和其他服务平台将使用事件事件日志来获取传输量以确定传输的准确性。但是在这里你需要特别注意做恶的合同,因为事件可以任意写,而不是强制默认的非篡改选项:

发出转移(从,到,价值); //值和其他参数可以任意定义

作为一个平台,在对接新的在线令牌合同之前,应该进行严格的安全审核。此类安全审核必须强制执行令牌安全性以实施最佳安全实践。

作为代理承包商,应在编码中严格执行最佳安全措施,并要求第三方职业安全审计机构完成严格,完整的安全审计。

后记 Q&A

Q:为什么我们采取这种披露方式?
答:实质是与反对者竞争,但这种生态太大了。我们的力量不可能是全面的。我们只能尽可能地覆盖它。例如,我们首先通知了我们的客户,然后是慢雾区域的合作伙伴。客户,以及关注这种生态安全对手的客户最终不得不披露细节。

Q:为什么说披露的不仅仅是漏洞,而是攻击?
答:实际上,在我们的风格中,我们通常不仅仅提到漏洞。漏洞对我们来说太普遍了。这不是利用漏洞进行高水平运作的好方法。攻击不同,攻击已经发生,我们必须与攻击者竞争。披露是一门艺术,没有什么是完美的,我们只能尽力使这种生态安全。

Q:至少 3619 份存在“假充值”漏洞风险,这些代币该怎么办?
答:非常纠结。一般来说,制作这些令牌的最佳方法是重新发送它们,然后对旧的和新的令牌进行“映射”。因为这种类型的令牌不会像这样,它就像一个“定时炸弹”。您不能指望所有集中交换,集中式钱包和其他平台安全停靠。一旦这种“虚假充电”没有完成。漏洞的判断,损失是平台方面。如果平台方面损失惨重,那肯定会对整个市场造成损失。

Q:有哪些知名代币存在“假充值”漏洞?
答:我们不会透露姓名。

Q:有哪些交易所、钱包遭受过“假充值”漏洞的攻击?
答:恐怕没有人会公开公开,我们也不会说出来。

Q:这些代币不重发是否可以?
答:可能,但不完美。不要选择重新发送令牌或只是“映射”主网络,或者您必须做好通知所有停靠令牌的平台。

Q:为什么慢雾可捕获到这类攻击?
答:我们拥有强大的威胁情报网络。当我们捕获异常时,我们默认认为这是一次攻击。

Q:除了 USDT、以太坊代币存在“假充值”漏洞风险,还有其他什么链也存在?
答:我暂时不会透露,但相信“假充值”漏洞已经成为区块链生态系统中不可忽视的一种漏洞。这是弱雾安全团队在漏洞和攻击发现历史中非常重要的一部分。

百度搜索“北京赛车计划群”,专业资料,生活学习,尽在这里,您的在线图书馆!

转载保留链接:http://www.hzqsz.com/855.html

责任编辑:admin

相关图文