以太坊

          以太坊突爆假充值漏洞 攻击范围覆盖全部标准代币!

  7月9日,曾爆USDT假充值漏洞的慢雾科技再次出手,发布了以太坊攻击预警。

  必须注意的是,这次的漏洞同时存在于交易所中心化钱包和智能合约两方面。并且,不只ERC20标准代币,以太坊不同标准的各种代币都会受到影响。

  慢雾方面透露,7月11日他们将公开发布上万字的详细报告。

  预警

  慢雾科技预警称,已经发现有交易所及中心化钱包遭受以太坊代币“假充值”漏洞攻击,并提醒相关交易所、 中心化钱包、代币合约等特别警惕、尽快自查是否存在异常。

  冲科技随后采访了慢雾科技安全研究员Keywolf,了解关于这次漏洞的具体情况。

  Keywolf表示,由于这次以太坊代币漏洞涉及到假充值,极有可能会造成交易所财产损失,实际影响可能会大于 USDT “假充值”漏洞攻击事件。

  另外,这次影响的以太坊代币范围不只是ERC20标准代币,还包括ERC721、ERC223等以太坊标准的各种代币,都在波及范围之内。

  他解释说,这次漏洞跟上次的USDT假充值漏洞相似,但底层实现的方式不一样,以太坊的漏洞与智能合约也有关系。也就是说,交易所以及中心化钱包和智能合约两方面的缺陷同时存在。

  关于交易所和中心化钱包目前受到攻击的具体情况,慢雾表示不方便透露。

  网上有用户留言称,这个漏洞是“ERC20代币充值余额不足status=0”问题。对此Keywolf回应称,因为这个细节尚不能公布,他们暂时不确认也不否认这个消息。7月11日,慢雾科技会公开发布一个关于漏洞的上万字详细报告。

  此前各类安全事件爆出后,业界最为关注的都是会否影响ETH和其他以太坊代币的价格;对此,Keywolf表示亦不确定,因为价格更多由市场决定。

  此外,冲科技还询问了上次USDT假充值漏洞的后续进展,慢雾方面则表示暂时没有得到其他交易所的更多反馈。

  6月28日晚,慢雾科技根据慢雾区伙伴情报发布USDT“假充值”预警。预警称,交易所在进行USDT充值交易确认是否成功时存在逻辑缺陷,未校验区块链上交易详情中valid字段值是否为true,导致“假充值”,即攻击者无需付出任何USDT,即成功向交易所充值了USDT,而且这些USDT可以正常进行交易。

  智能合约的安全隐患

  据统计,当前全球Top100市值的虚拟币中,92%都是基于以太坊开发的。有数据显示,89%的智能合约都存在安全漏洞,保守估计因智能合约漏洞所导致的损失已超过20亿美元。

  简单来说,智能合约就是利用区块链的技术,大家共同约定,当一定条件被满足的情况下,可以被自动执行的合约。目前区块链最常用的智能合约平台就是以太坊,谁都可以根据以太坊的ERC20标准分发代币。

  4月22日,有黑客利用以太坊 ERC-20智能合约中BatchOverFlow漏洞攻击与美图董事长蔡文胜相关的BEC智能合约,成功向两个地址转出了天量级别的BEC代币,导致大量BEC被抛售,当日BEC价值几乎归零。

  4月25日,另一个智能合约SmartMesh(SMT)曝出漏洞。因SMT出现异常交易,各交易平台曾一度暂停SMT的充提和交易。

  更严重的是,此次漏洞涉及的还不止基于以太坊ERC20标准的代币,包括ERC721、ERC223等以太坊标准的各种代币都在波及范围之内。

  伦敦大学计算机科学系副教授伊利亚·谢尔盖在其最新论文中披露,他对将近 100 万份智能合约进行每份合约10 秒钟的分析后,发现其中有 34200 份智能合约很容易受到黑客攻击。同时他还对 3686 份智能合约进行了抽样调查,发现这些合约有89% 的概率存在漏洞。