韩国国家级区块链项目ICON智能合约代码近日被爆代码存在安全漏洞,使transfer功能失效。虽然黑客无法利用这次漏洞盗币,但该漏洞会导致包括转账、交易等重要功能无法正常使用。据闻,项目方已积极投入大量资源修复漏洞并保证交易不受影响。
ICON到底出了什么安全漏洞?
在ICX的合约中,有一个功能可以开启/关闭合约的转账功能。最初,此功能的设计是只有ICX合约的所有者拥有调用它的权限;由于代码写错了逻辑运算符号,导致除了合约所有者之外的任何人都能随意开启和关闭该合约的转账功能。
毕马威:比特币对环境产生积极影响:金色财经报道,全球四大会计师事务所之一的毕马威会计师事务所发布关于比特币的相关报告。报告承认比特币对环境产生积极影响。[2023/8/2 16:13:14]
让我们来看一下这段代码:
require(msg.sender!=walletAddress);//错误!从代码逻辑上来看,「!=」表示「不等于」,「==」表示「等于」很明显的,这行代码应该写成:require(msg.sender==walletAddress);//正确!
报告:Nomad跨链桥事件中有88%的攻击地址是“模仿者”:8月11日消息,Coinbase在博客文章中对上周Nomad跨链桥黑客攻击事件进行了分析,根据该文章,参与此次攻击的地址中,88%的地址已被确定为“模仿者”,在8月1日盗取了总价值8800万美元的代币。“模仿”方法是原始漏洞利用的变体,该漏洞利用了Nomad智能合约中的一个漏洞,允许用户从不属于他们的跨链桥中提取资金。模仿者复制相同的代码,但修改目标代币、代币数量和接收地址。就提取的资金总额而言,前两名黑客是盗取的资金最多。由于wBTC、USDC和wETH代币在Nomad跨链桥中的集中度最高,最初的黑客首先攻击的是Bridge的wBTC,其次是USDC和wETH。
截至8月9日,从Nomad跨链桥合约中被盗的17%的资金已归还,大部分归还发生在Nomad跨链桥要求于8月3日将资金发送到回收地址后的几个小时内,而最近几天的速度比最初发布地址时要慢。34%的被盗资金尚未移动, 49%的被盗资金已从攻击地址转入其他地方。[2022/8/11 12:18:05]
事后来看,这几行代码所展现的错误很直接了当,可开发过程中要面对的是成百上千行代码,这样的繁杂就会带来对漏洞的忽略。而传统检测和安全审计服务不仅耗时耗力,还容易出现人为失误,导致不必要的损失。
加密支付初创公司Nume完成200万美元pre-seed轮融资,红杉资本印度领投:6月14日消息,加密支付初创公司Nume完成200万美元pre-seed轮融资,红杉资本印度(Sequoia CapitalIndia)领投,Beenext、Whiteboard Capital、Polygon联合创始人Jaynti Kanani、Coinbase前CTO Balaji Srinivasan、谷歌工程负责人Arun Samudrala和Block Tower Capital普通合伙人Sanat Rao等参投,所筹资金将用于促进加密货币在支付中的使用。
据悉,Nume目前正在为零售和商业客户构建其支付处理器,分别称为Nume Pay和NumePay Business。(The Block)[2022/6/14 4:25:33]
怎么保证智能合约代码无漏洞?
为了探求如何能避免这类型的错误再次发生,小编请CertiK(Certik.org)--形式化验证平台帮忙做了一个深入检测,了解到CertiK如何通过将智能标签运用到源代码中,快速并且全自动化的检测安全漏洞。
上图就是CertiK检测ICX漏洞的实际过程,完整的演示了漏洞的验证过程及修复建议。据悉,ICX智能合约已经在上线做过多轮的安全「审计」,但可是这样的错误还是成了漏网之鱼。如果ICX当时能使用CertiK的形式化验证服务,这次事故很可能可以避免。
最后,小编还是要提醒智能合约要上线的各位,尽早让形式化验证平台为你的合约保驾护航。
附上ICX源代码:
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
区块链探长
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3630312.html
以太坊ETH韩国漏洞风险安全
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
「云挖坑」HashOcean或350万美元的BTC,黑客又当回「背锅侠」?
下一篇:
5%的门罗币来自恶意挖矿,诚实矿工收入锐减
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。