您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

以太坊爆重大安全漏洞,或会无限量增发

2018-6-21 05:56| 投稿: xiaotiger |来自: 互联网

摘要: 越是功能强大的智能合约,就越是逻辑复杂近日,黑客利用了一个ERC223合约与DS-AUTH库的混合漏洞,重设了owner权限,进行了ATN Token的增发。ATN技术人员收到异常监控警示,介入后确定TOKEN合约受到黑客攻击并发现了 ...

越是功能强大的智能合约,就越是逻辑复杂

近日,黑客利用了一个ERC223合约与DS-AUTH库的混合漏洞,重设了owner权限,进行了ATN Token的增发。ATN技术人员收到异常监控警示,介入后确定TOKEN合约受到黑客攻击并发现了相关漏洞,随后对漏洞进行了修复,并冻结了增发的Token。

另据慢雾区透露,ATN基金会将销毁1100万个ATN,并恢复ATN总量,同时将在主链上线映射时对黑客地址内的资产予以剔除,确保原固定总量不变。

智能合约漏洞频现

如果智能合约开发者疏忽或者测试不充分,而造成智能合约的代码有漏洞的话,就非常容易被黑客利用并攻击。并且越是功能强大的智能合约,就越是逻辑复杂,也越容易出现逻辑上的漏洞。黑客利用了一个ERC223合约与DS-AUTH库的混合漏洞,重设了owner权限,进行了Token的增发。这个漏洞虽然比较隐秘,但安全等级很高。

谨防亡羊补牢事件再次发生

目前漏洞已被修复,修复后的合约成功通过了第三方专业区块链安全机构的安全审计,合约安全威胁已解除。目前已知存在Solidity漏洞、短地址漏洞、交易顺序依赖、时间戳依赖、可重入攻击等漏洞,在调用合约时漏洞可能被利用,而智能合约部署后难以更新的特性也让漏洞的影响更加广泛持久。

合约无小事,区块链合约的安全,仅依靠开发者的经验和能力并非万无一失。鉴于以太坊其运行时间还不到3年,如上漏洞可能只是其所有漏洞的冰山一角,为保证业务在区块链上安全可靠运行,保护数字资产的安全,采用以太坊做为区块链技术方案时必须对智能合约代码进行充分测试。

在币晓看来,在区块链和智能合约的设计与编码实践中,需做到以下几点:

简化区块链脚本语言设计,牺牲一部分图灵完备性换取安全性

严格执行智能合约代码审查

强化对智能合约程序员培训

在应用实践中要谨慎渐行


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6569051682737488388/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部