首页 > 区块链 > 关键词 > 以太坊代币最新资讯 > 正文

慢雾区披露以太坊代币“假充值”漏洞细节和修复方案

2018-07-11 10:30 · 稿源:站长之家

今日块讯(Chinaz.com) 7 月 11 日消息    7 月 9 日,“慢雾区”发布以太坊代币“假充值”漏洞攻击预警,今天慢雾安全团队正式披露以太坊代币“假充值”漏洞细节及修复方案。

根据慢雾区消息,以太坊代币“假充值”漏洞影响了相关中心化交易所、中心化钱包、代币合约等,其中 3619 份代币合约存在“假充值”漏洞风险。

根据其披露以太坊代币“假充值”漏洞细节,攻击者可以利用存在缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,如果交易所误判充币成功,就可能存在“假充值”漏洞。具体细节如下:

以太坊代币交易回执中 status 字段是 0x1(true) 还是 0x0(false),取决于交易事务执行过程中是否抛出了异常(比如使用了 require/assert/revert/throw 等机制)。当用户调用代币合约的 transfer 函数进行转账时,如果 transfer 函数正常运行未抛出异常,该交易的 status 即是 0x1(true)。

如图代码,某些代币合约的 transfer 函数对转账发起人(msg.sender)的余额检查用的是 if 判断方式,当 balances[msg.sender] < _value 时进入 else 逻辑部分并 return false,最终没有抛出异常,我们认为仅 if/else 这种温和的判断方式在 transfer 这类敏感函数场景中是一种不严谨的编码方式。而大多数代币合约的 transfer 函数会采用 require/assert 方式,如图:

当不满足条件时会直接抛出异常,中断合约后续指令的执行,或者也可以使用 EIP 20 推荐的 if/else + revert/throw 函数组合机制来显现抛出异常,如图:

我们很难要求所有程序员都能写出最佳安全实践的代码,这种不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,如果交易所仅判断如 TxReceipt Status 是 success(即上文提的 status 为 0x1(true) 的情况) 就以为充币成功,就可能存在“假充值”漏洞。如图:

此外,慢雾区还公布了修复方案,内容如下

除了判断交易事务 success 之外,还应二次判断充值钱包地址的 balance 是否准确的增加。其实这个二次判断可以通过 Event 事件日志来进行,很多中心化交易所、钱包等服务平台会通过 Event 事件日志来获取转账额度,以此判断转账的准确性。但这里就需要特别注意合约作恶情况,因为 Event 是可以任意编写的,不是强制默认不可篡改的选项:

emit Transfer(from, to, value); // value 等参数可以任意定义

作为平台方,在对接新上线的代币合约之前,应该做好严格的安全审计,这种安全审计必须强制代币合约方执行最佳安全实践。

作为代币合约方,在编码上,应该严格执行最佳安全实践,并请第三方职业安全审计机构完成严谨完备的安全审计。

  • 相关推荐
  • 大家在看
  • 火币晚报:以太坊巨鲸正在减少,交易平台以太坊余额降至9个月低点

    行情分析BTC受外围市场影响,开启下跌趋势根据火币交易平台数据显示,比特币从下午开始持续小幅放量下跌。接连跌破了10800和10700两个整数关口,成交量逐步放大,截稿时目前仍在试探10600整数关口。上周末一份关于国际大行的可疑交易调查报告曝光,报告称汇丰、摩根大通、德意志银行等银行涉嫌转移2万亿美元的可疑资金,从下午的盘面来看这确实对外部市场的投资者产生了很大的影响。日内欧洲股市,美国股指期货纷纷下跌。比特币因?

  • OKEx早报:以太坊2.0信标链创世有望在六周内实现

    OKEx早报将在每日早间为您带来最新的行情,以及相关行业动态。帮助投资人在最短的时间内了解夜间的动态消息,更好的握把每日行情。行情速递10月13日讯,昨天BTC收涨,涨幅1.28%,尾盘半小时内拉升200美元,收于10500美元上方。通过OKEx平台交易数据可以看出,今日早间行情由涨转跌,BTC早间最高触及11724.6美元,随后震荡回落,跌至10500美元下方。截止发稿,BTC暂报11485.67美元。据OKEx交易大数据显示,BTC合约多空持仓人数比为0

  • 火币研习社:经济向好助推A股节后回暖, 灰度以太坊信托获准

    A股市场今日A股早盘下挫,临近午盘开始回升,日内走势先跌后涨,整体振幅0.81%。截至收盘,上证指数微涨0.04%,报3359.75点。深成指涨0.66%,报13798.58点,创业板指涨0.26%,报2784.72点。中小板表现相对亮眼,大涨1.28%,报9296.21点。 图片来源:wind市场成交量方面,沪指较昨日缩量,但沪深两地市场成交量今日依旧超万亿,整体市场筹码承接良好。日内全市1690只个股上涨,2144只个股下跌,41只个股涨停,2只个股跌停,赚钱效应

  • OKEx情报局:灰度以太坊信托获SEC批准,对加密市场有何影响?

    10月12日晚间,全球最大的加密资产管理公司灰度投资(Grayscale Investments)宣布,灰度以太坊信托产品(ETHE)的注册声明已正式生效,成为美国证券交易委员会(SEC)的报告公司。1、灰度以太坊信托(ETHE)是什么?灰度以太坊信托基金(ETHE)是一个可公开交易的投资工具,由以太坊支持、灰度投资公司(Digital Currency Group 旗下子公司)推出并运营。信托(投资信托)是拥有固定数量的给定资产(如黄金、比特币或以太坊)的公

  • OKEx早报:以太坊2.0已激活新测试网Spadina Launchpad

    OKEx早报:工信部“加强区布局与运用”OKEx早报:以太坊2.0已激活新测试网,存款工具已审计OKEx早报将在每日早间为您带来最新的行情,以及相关行业动态。帮助投资人在最短的时间内了解夜间的动态消息,更好的握把每日行情。行情速递9月23日讯,昨天BTC收涨,涨幅0.32%,尾盘在10450美元附近调整。通过OKEx平台交易数据可以看出,今日早间行情缓慢上行,BTC开盘报10451.7美元,随后震荡拉升,最高点触及10572.9美元,当前在10500美元

  • OKEx早报:开发人员或在10月15日前完成以太坊2.0功能开发

    OKEx早报将在每日早间为您带来最新的行情,以及相关行业动态。帮助投资人在最短的时间内了解夜间的动态消息,更好的握把每日行情。行情速递9月27日讯,昨天BTC收涨,涨幅0.7%,尾盘在10700美元上方震荡。通过OKEx平台交易数据可以看出,今日早间行情相对企稳,BTC开盘报10720.9美元,短时下挫后缓慢上行,最高点触及10800美元,当前略有回落。截至发稿,BTC暂报10792.96美元。据OKEx交易大数据显示,BTC合约多空持仓人数比为0.78,

  • 来电独家入驻御蝶坊,畅享烘焙美食更来电

    近日,来电科技与深圳本地知名烘焙品牌御蝶坊达成战略合作,来电共享充电宝将独家入驻御蝶坊旗下 70 余家直营门店,为顾客带来专属的共享充电服务。此次合作将助力御蝶坊提升门店设施、带来更好的消费体验,同时也进一步夯实了来电科技在深圳区域的市场优势,持续渗透用户全场景,让生活随时随地来电。御蝶坊创立于 2000 年,是深圳市金蝶轩食品有限公司旗下连锁烘焙品牌,主营生日蛋糕,现烤面包,西点等。御蝶坊致力于为消费者提

  • 来电科技入驻盘子女人坊摄影,让古风摄影乐趣不断电

    近年来,汉服、古风成为一股持续升温的新风潮,越来越多人通过意境十足的古风摄影记录古典柔情与风韵。近日,共享充电宝行业开创企业来电科技与中国风文化艺术摄影品牌盘子女人坊达成战略合作,独家入驻全国 200 余家门店,让前来拍照的顾客畅享不断电的东方美拍摄体验。专注古风写真,开创“中国风”时代盘子女人坊成立于 2003 年,是全国唯一一家自主研发服装主题并专注中国风古装写真的领导品牌。秉承着“让每一位女性发现自己?

  • 线下萧条?疫后实现惊人逆势增长,盘子女人坊的三板斧

    打开搜索引擎,搜索一下“疫情”、“线下”的关键词,结果页透露着浓浓的焦虑,这也是疫情下线下企业困境的缩影。但是有一家拥有 200 余家实体店的线下企业,在疫情过后,却迎来了惊人的逆势增长。

  • 想快速上手合约平台怎么选?BTCC合约对新手用户更友好

    在 2020 年的币圈,现货交易的热度已经逐渐被合约交易所取代。合约的优势在于能用最小的资金撬动最大的杠杆,双向操作的机制为更多投资者带来更多利益的新方向。也正因如此,不少交易所都虎视眈眈开通了合约交易。但是新问题也随之而来:宕机,插针等问题等屡见不鲜,甚至不少平台利用不透明、带单吃客损公开收割用户,让用户成为随时待割的韭菜。不少用户想进行合约交易却又害怕被收割,再加上小白用户不熟悉合约,所以导致很多新?

  • Bingbon合约为什么能顺应时代的潮流?

    近两年,随着数字货币的发展,现货囤积财富效应减弱,单纯的币币交易早已无法满足投资者的需求,自 2019 年开始,以合约为代表的衍生品交易爆发式增长。老牌交易所积极开展合约产业布局,凭借多年积累的资源和影响力,不断抢占市场份额,面对头部交易所的攻势,二三线以及新兴交易所面临着巨大的压力。“新贵”Bingbon快速崛起,成为交易赛道上的黑马平台,其合约交易体验及不断创新产品功能也获得了用户的高度认可。用户和流量对?

  • 合约选择货比三家,币安成绩当之无愧no.1

    作为一种规避价格波动风险的工具,合约为散户、机构投资提供了趋势投资、风险对冲的选择,将这套在传统金融市场流行的玩法迁移至加密货币市场,也就成了如今大家所知的比特币等加密货币合约交易。然而在世界范围内有众多家数字货币交易所提供合约交易,如何甄别交易所好坏便是合约用户需要关注的重点了。全球最大的数字资产交易平台币安,在 9 月 23 日,宣布旗下加密资产衍生品交易平台币安合约自年初至今已突破一万亿美元交易量?

  • 币安合约千团大战奖池之争 BNB锦鲤落谁家

    距离币安合约上线已经过去一年的时光,这一年的时光是漫长的。币安合约从BitMEX占据市场的半壁江山中,以及OK、火币对加密资产衍生品赛道虎视眈眈的情形下,顺势而生。接着,在这“漫长”的时光里,用火箭般的速度,画出自己的曲线。币安合约推出一周后,交易量超过 18 亿美元; 1 个月后,日交易量冲至BTC/USDT正向永续合约第一名; 6 个月后,币安合约永续合约交易量超越BitMEX,成为稳居行业第一的“大黑马”。 1 年后的今天,?

  • 华为疯狂扫货 内存现货价格涨了15%:合约价还得跌

    Q3季度即将结束了,内存市场的颓势还没止住,但是合约市场与现货市场可谓冰火两重天,9月上旬内存现货价格大涨10-15%,主要是华为公司在扫货。9月15日是华为禁令正式生效的日子,内存厂商也不

  • 外媒:紫光集团执行副总裁高启全五年合约期满 已经离职

    10月2日消息,据国外媒体报道,在半导体领域有丰富经验的紫光集团执行副总裁高启全,合约期满,已经离开了紫光集团。高启全是在2015年加入紫光集团的,从外媒的报道来看,他与紫光集团签署的五年合约,到期之后未续约。从相关的报道来看,高启全生于1953年,今年67岁,在半导体行业有近40年的经验,先后任职于多家公司,在存储芯片方面声名显赫,他在2015年从华亚科董事长兼南亚科总经理的位置上离任,随后加盟紫光。?

  • Twitter确认宕机,但没有证据表明存在网络攻击或安全漏洞

    据外媒报道,日前,许多Twitter用户突然无法访问该服务平台。虽然老Twitter用户还记得这个社交媒体网站的“failwhale(故障的鲸鱼)”经常出现的时候,但现阶段它通常是稳定的,最近一次重大问题则是因7月份的安全漏洞而出现过。

  • 谷歌和英特尔警告Linux中存在高严重的蓝牙安全漏洞

    谷歌和英特尔警告说,除了最新版本的Linux内核外,其他所有版本的Linux内核都存在高严重性蓝牙漏洞。谷歌的一位研究人员表示,该漏洞允许攻击者在蓝牙范围内无缝执行代码,而英特尔则将该漏洞定性为提供特权升级或信息泄露。

  • 赶紧更新!Firefox漏洞允许攻击者在同一WiFi劫持移动浏览器

    Mozilla已经修复了一个漏洞,攻击者可以使用该漏洞在同一个WiFi网络上劫持所有安卓版火狐浏览器,迫使用户访问恶意网站,比如钓鱼网页。

  • 微软已修复Windows安装过程中的权限提升安全漏洞

    在WindowsSetup中存在一个安全漏洞,即安装操作系统功能更新时的过程中可使得经过本地认证的攻击者有可能利用提升的系统权限运行任意代码。该漏洞(CVE-2020-16908)可被利用来安装软件、创建新用户账户或干扰数据。

  • 颜值、安全、智能 - 松下 72 系智能锁使用评测

    作者:知乎沈少作为国际知名的电器大厂,其实松下的智能锁一直口碑不错。其中72系定位高端,由日本资深设计师打造,颜值颇有极简主义的味道。在设计思路上,尽量减去了所以非必要元素,并且用滑动盖隐藏操作面板,看上去简约大方不说,还和各种门都比较搭,有3种颜色(陨石黑,琥珀金,钻石银)可选,我家是比较偏原木色的门,所以选择了琥珀金这款来搭配。具体我们还是结合实物来看看吧!产品开箱接下来,我们先来看看开箱。这款?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签