链闻讯:
区块链安全公司慢雾科技发布预警,称部分交易所及中心化钱包遭受以太坊代币「假充值」漏洞攻击之后,7月10日表示已通知了大部分交易所和中心化钱包确认漏洞细节。该公司称,此漏洞影响面很大,将在7月11日公布详细漏洞分析报告,以下为漏洞分析详细内容:
漏洞分析报告来自慢雾区公众号
披露时间线
以太坊代币「假充值」漏洞影响面非常之广,影响对象至少包括:相关中心化交易所、中心化钱包、代币合约等。单代币合约,我们的不完全统计就有3619份存在「假充值」漏洞风险,其中不乏知名代币。相关项目方应尽快自查。由于这不仅仅是一个漏洞那么简单,这已经是真实在发生的攻击!出于影响,我们采取了负责任的披露过程,这次攻击事件的披露前后相关时间线大致如下:
2018/6/28慢雾区情报,USDT「假充值」漏洞攻击事件披露
Bingbon与慢雾科技达成安全战略合作:据官方消息,数字资产衍生品交易平台Bingbon 与慢雾科技达成安全战略合作,双方将针对数字货币行业中的底层公链安全研究、链上数据分析、威胁情报同步等多个环节保持密切合作,进一步保障Bingbon平台及区块链生态安全。Bingbon现已入驻慢雾区,并发布“安全漏洞与威胁情报赏金计划”。Bingbon 一直重视平台安全,关于安全风控,以超高标准投入,旨在打造一个业内安全稳定、公平公正、便捷高效的交易服务平台。
始于2018 年,Bingbon 是一家全球性的数字资产衍生品交易服务平台,用户覆盖亚洲、欧洲、北美洲和大洋洲等 37 个国家和地区,Bingbon 为用户提供简单、易用、专业的数字资产衍生品交易产品与服务。[2020/7/15]
2018/7/1慢雾安全团队开始分析知名公链是否存在类似问题
2018/7/7慢雾安全团队捕获并确认以太坊相关代币「假充值」漏洞攻击事件
慢雾:攻击者系通过“supply()”函数重入Lendf.Me合约 实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称,通过将交易放在bloxy.info上查看完整交易流程,可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用,但是这两次调用都是独立的,并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着,在第二次“supply()”函数的调用过程中,攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用,最终提现。慢雾安全团队表示,不难分析出,攻击者的“withdraw()”调用是发生在transferFrom函数中,也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显,攻击者通过“supply()”函数重入了Lendf.Me合约,造成了重入攻击。[2020/4/19]
2018/7/8慢雾安全团队分析此次影响可能会大于USDT「假充值」漏洞攻击事件,并迅速通知相关客户及慢雾区伙伴
动态 | 慢雾区块链攻防对抗总结:11 月数据泄露趋势愈发普遍:据慢雾 BTI 系统监测发现,暗网中陆续出现区块链相关的数据泄露情报,包括:GateHub 140 万用户信息、数字货币交易所用户信息等,此前 BitMex 也因工作失误导致大量用户邮箱信息泄露。11 月另一个重大安全事件是韩国交易所 Upbit 被黑导致 34.2 万 ETH 从热钱包中被盗,慢雾安全团队怀疑该事件可能和 APT(高级持续性威胁)攻击有关,这种攻击的特点是长期潜伏,直到碰到可操作的大资金,一次性大笔盗走。
过去数月,慢雾 BTI 系统还曾披露假充值漏洞攻击、供应链攻击、提币地址劫持替换攻击等,慢雾安全团队在此提醒各项目方,做好安全漏洞自查,进一步增强人员安全意识及平台风控体系,必要时可联系专业的区块链安全公司寻求帮助,避免遭受损失。[2019/12/1]
2018/7/9慢雾区对外发出第一次预警
2018/7/10慢雾安全团队把细节同步给至少10家区块链生态安全同行
声音 | 慢雾余弦:区块链安全漏洞引起的财产损失未来将进一步扩大:据算力智库微信公众号文章,公开资料数据显示,2011-2019年之间,由区块链安全漏洞引起的损失高达84亿美元。其中,交易所是重灾区,占比近一半。对此,慢雾余弦表示,一方面,交易所的门槛比以往低了很多,而安全防护水平又层次不齐,对于地下黑客来说那就是满地黄金。此外,这一数据的背后体现了了人们对加密货币市场,对区块链的认同。基于这个共识,行业规模扩大,错误也随之放大。未来这一数据增幅还将继续扩大。对于中心化的交易所而言,会受到传统行业的攻击,如服务器、办公网等,也和公链、智能合约有关。每一环都有可能存在的安全问题。他建议把IT建设的预算中拿出15%-20%作为安全预算,其中包括人员的成本维护,杀软件,防火墙的购置等。但是这并不代表你配置了这些就一定不会被黑。抛开攻防博弈成本去看待这个问题是不客观的。你每投入一定的比例,那攻击门槛则相对提高了一个台阶。相对来说你被黑的概率会低很多,但我们这个行业没有人可以给出这样的一个永不被黑的承诺。[2019/10/30]
2018/7/11细节报告正式公开
分析 | 慢雾:攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析,从DragonEx公布的“攻击者地址”的分析来看,20 个币种都被盗取(但还有一些DragonEx可交易的知名币种并没被公布),从链上行为来看攻击这些币种的攻击手法并不完全相同,攻击持续的时间至少有1天,但能造成这种大面积盗取结果的,至少可以推论出:攻击者拿下了DragonEx尽可能多的权限,更多细节请留意后续披露。[2019/3/26]
漏洞细节
以太坊代币交易回执中status字段是0x1(true)还是0x0(false),取决于交易事务执行过程中是否抛出了异常。当用户调用代币合约的transfer函数进行转账时,如果transfer函数正常运行未抛出异常,该交易的status即是0x1(true)。
如图代码,某些代币合约的transfer函数对转账发起人(msg.sender)的余额检查用的是if判断方式,当balances<_value时进入else逻辑部分并returnfalse,最终没有抛出异常,我们认为仅if/else这种温和的判断方式在transfer这类敏感函数场景中是一种不严谨的编码方式。而大多数代币合约的transfer函数会采用require/assert方式,如图:
当不满足条件时会直接抛出异常,中断合约后续指令的执行,或者也可以使用EIP20推荐的if/elserevert/throw函数组合机制来显现抛出异常,如图:
我们很难要求所有程序员都能写出最佳安全实践的代码,这种不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,如果交易所仅判断如TxReceiptStatus是success就以为充币成功,就可能存在「假充值」漏洞。如图:
参考示例TX:
https://etherscan.io/tx/0x9fbeeba6c7c20f81938d124af79d27ea8e8566b5e937578ac25fb6c68049f92e
修复方案
除了判断交易事务success之外,还应二次判断充值钱包地址的balance是否准确的增加。其实这个二次判断可以通过Event事件日志来进行,很多中心化交易所、钱包等服务平台会通过Event事件日志来获取转账额度,以此判断转账的准确性。但这里就需要特别注意合约作恶情况,因为Event是可以任意编写的,不是强制默认不可篡改的选项:
emitTransfer(from,to,value);//value等参数可以任意定义
作为平台方,在对接新上线的代币合约之前,应该做好严格的安全审计,这种安全审计必须强制代币合约方执行最佳安全实践。
作为代币合约方,在编码上,应该严格执行最佳安全实践,并请第三方职业安全审计机构完成严谨完备的安全审计。
后记Q&A
Q:为什么我们采取这种披露方式?
A:本质是与攻击者赛跑,但是这个生态太大,我们的力量不可能覆盖全面,只能尽我们所能去覆盖,比如我们第一时间通知了我们的客户,然后是慢雾区伙伴的客户,再然后是关注这个生态的安全同行的客户,最终不得不披露出细节。
Q:为什么说披露的不仅仅是漏洞,而是攻击?
A:其实,以我们的风格,我们一般情况下是不会单纯去提漏洞,漏洞这东西,对我们来说太普通,拿漏洞来高调运作不是个好方式。而攻击不一样,攻击是已经发生的,我们必须与攻击者赛跑。披露是一门艺术,没什么是完美的,我们只能尽力做到最好,让这个生态有安全感。
Q:至少3619份存在「假充值」漏洞风险,这些代币该怎么办?
A:很纠结,一般来说,这些代币最好的方式是重发,然后新旧代币做好「映射」。因为这类代币如果不这样做,会像个「定时炸弹」,你不可能期望所有中心化交易所、中心化钱包等平台方都能做好安全对接,一旦没做好这个「假充值」漏洞的判断,那损失的可是这些平台方。而如果平台方损失严重,对整个市场来说必然也是一种损失。
Q:有哪些知名代币存在「假充值」漏洞?
A:我们不会做点名披露的事。
Q:有哪些交易所、钱包遭受过「假充值」漏洞的攻击?
A:恐怕没人会公开提,我们也不会点名。
Q:这些代币不重发是否可以?
A:也许可以,但不完美。不选择重发的代币要么很快是发布主网就做「映射」的,要么得做好通知所有对接该代币的平台方的持续性工作。
Q:为什么慢雾可捕获到这类攻击?
A:我们有健壮的威胁情报网络,捕获到异常时,我们默认直觉会认为这是一种攻击。
Q:除了USDT、以太坊代币存在「假充值」漏洞风险,还有其他什么链也存在?
A:暂时不做披露,但相信我们,「假充值」漏洞已经成为区块链生态里不可忽视的一种漏洞类型。这是慢雾安全团队在漏洞与攻击发现史上非常重要的一笔。
链闻ChainNews:提供每日不可或缺的区块链新闻。
原文作者:慢雾链闻编辑:Ajina版权声明:文章为作者独立观点,不代表链闻ChainNews立场。
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
链闻速递
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626928.html
以太坊ETH漏洞风险安全
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
众多项目启动「道德黑客」赏金计划,EOS上半年赏金超10万美元
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。