UNI:安全公司:智能合约不是完美合约,四分之一存在关键性漏洞

智能合约能解决诸多问题,但它们本身却似乎问题缠身。EOS中存在的RAM致命漏洞和原因一度成为币圈头条,一周后,一家代码审核公司揭示了智能合约中普通存在漏洞的现象。安全公司Hosho与社区管理公司Amazix的最新合作发现,每四个智能合约项目中就有一个存在严重的漏洞。

10亿美元并不能保证不出现漏洞

10亿美元——这是Hosho审计过的智能合约项目所筹集的资金数额。这家安全公司声称,它审计的智能合约比审计过的其他行业公司都要多。尽管这些项目有大量的人力和财力资源可供使用,但如果他们忽视对其代码进行彻底审查,他们中的许多项目将会陷入瘫痪。Hosho审计过的项目中,有四分之一被发现存在严重的漏洞,大约60%的项目至少存在一个安全问题。

安全公司Dedaub因披露Uniswap重入漏洞获得4万美元漏洞赏金:1月3日消息,安全公司 Dedaub 团队宣布获得 Uniswap Labs 的 4 万枚 USDC 安全漏洞赏金,因为其披露 Uniswap 的一个严重漏洞,该漏洞有重入并耗尽用户的资金的可能性。不过,Uniswap 团队已解决该漏洞并在所有链上重新部署了 Universal Router 智能合约,资金是安全的。

Uniswap 在 2022 年 11 月份发布通用路由器Universal Router智能合约,可将 ERC20 和 NFT 兑换统一到一个交换路由器中,用户可以执行异构操作,例如,在一笔交易中交换多个 Token 和 NFT。

Dedaub 表示,该路由器为各种 Token 操作嵌入了脚本语言,此类命令可能包括向第三方(可能不受信任的)接收人的传输。如果在传输过程中的任何时候调用第三方代码,该代码可以重新进入 UniversalRouter 并在合约中临时认领任何 Token。Dedaub 建议 Uniswap 为新路由器的核心执行添加一个重入锁,并重新部署。[2023/1/4 9:50:22]

ICO项目的启动平台以太坊受到的影响最为严重,其中存在的大量可利用代码导致数亿美元的以太币被窃取或锁定。虽然像Stratis这样的智能合约平台正在推动使用C#来调试部署套件和专业反编译器的可用性,但是以太坊的图灵完备系统为漏洞留下了更大的余地。识别和消除所有潜在的安全漏洞是一项永无休止的的任务,即使是经验丰富的可靠开发人员也很难做到这一点。获得专门从事智能合约审计的第三方的支持,虽然不能确保万无一失,但却是避免发布漏洞丛生代码的最好办法。

安全公司:CoFiXProtocol项目遭受价格操控攻击,攻击者获利约14万美元:据成都链安安全舆情监控数据显示,CoFiXProtocol项目遭受价格操控攻击。成都链安安全团队对此次攻击事件分析后,发现攻击者先从先闪电贷借出大量BSC-USD,再用BSC-USD兑换出DCU。然后攻击者通过利用Router合约的swapExactTokensForTokens没有校验to地址是否是msg.sender的漏洞,将对Router合约有大额授权的to地址中的BSC-USD经过BSC-USD -> DCU -> PRC的兑换路径兑换为RPC,导致LP中DCU的价格升高,最后通过前面兑换的DCU重新高价兑换成BSC-USD从而获利。目前攻击者实施了三次攻击,总计获利约145,491 BSC-USD(价值14万美元),已经兑换为BUSD并转移到攻击者的其他地址(0x5443...d7D6)中 。对此,成都链安安全团队建议用户在对合约授权时按需授权,授权值不要超过本次需要转移的代币的数量,避免因为过多授权造成意外损失。[2022/6/2 3:57:41]

智能合约测试服务

动态 | 区块链安全公司CertiK下周将推出认证链的公开测试版:据CoinTelegraph今日报道,区块链安全公司CertiK宣布将在下周推出其认证链CertiK Chain的公开测试版CertiK Chain Testnet 3.0。[2019/11/22]

虽然行业惯例是在代币发售前对智能合约进行审计,但尚未筹集资金的项目可能会尝试走捷径,在这一程序上节省开支。然而,这样的做法可能是致命的,因为最恶性的漏洞会导致钱包被洗劫一空,而通过操纵缓冲区溢出漏洞可以更改帐户余额。数个基于以太坊的项目在执行第一次智能合约时就搞砸了,然后被迫进行代币替换。

在EOS方面,本周所有的精力都集中在修复最近发现的RAM漏洞上。这个漏洞允许恶意用户“在他们的帐户上设置代码,这样他们就可以以另一个账户的名义插入执行向他们发送代币的代码行。「当DAPP/用户向它们发送代币时,他们可以在行中插入大量无用数据,从而锁定RAM。」

Amazix是加密货币经济领域内一家卓越的社区管理和咨询公司,现已与Hosho合作,为客户提供智能合约审计服务。Amazix首席营销官肯尼思?贝尔森说道:

在缺乏行业标准的情况下,我们认为智能合约审计和渗透测试是确保区块链系统良好安全性的重要组成部分。在我们看来,没有谁比Hosho的工程师更有资格做这件事的了。

加密货币的拥趸者们认为,智能合约最终会渗透到从保险到纠纷解决等服务的方方面面中来。在此之前,在治理智能合约的代码上建立信任至关重要。

链闻ChainNews:提供每日不可或缺的区块链新闻。

原文作者:KaiSedgwick文章来源:巴比特中文编译:Libert版权声明:文章为作者独立观点,不代表链闻ChainNews立场。

来源链接:news.bitcoin.com

本文来源于非小号媒体平台:

链闻速递

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3626997.html

漏洞风险安全

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

巴西政府向本地加密货币交易所发送调查问卷

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:541ms