1. 首页
  2. 深度

EDU智能合约频遭黑客攻击,谁来背锅?

据区块链安全团队PeckShield 称,黑客早在5月20日就开始发动了对EDU的攻击,当天完成了 4 笔交易,第一笔交易是利用 Allow 函数的漏洞从项目方的地址中偷走了 30 亿枚 EDU Token,随后利用三次交易将 Token 进行了转手。

EDU智能合约频遭黑客攻击,谁来背锅?

5 月 23 日-24日, EDU和BAI的智能合约先后被爆出现重大安全漏洞,现已发现有大量洗劫行为。

EDU的漏洞

据行情显示,EDU现均价0.0033美元,5日内跌幅达43.75%,BAI现均价0.0033美元,5日内跌幅达34.75%。

导致此次黑客可任意转走持有者账户里所有的 EDU的漏洞具体为:其智能合约中transferFrom 函数内,未校验 allowed[_from][msg.sender] >= _value 并且函数内 allowed[_from][msg.sender] -= _value; 没有使用 SafeMath,导致无法抛出异常并回滚交易,且由于合约没有 Pause 设计,无法及时止损。

据区块链安全团队PeckShield 称,黑客早在5月20日就开始发动了对EDU的攻击,当天完成了 4 笔交易,第一笔交易是利用 Allow 函数的漏洞从项目方的地址中偷走了 30 亿枚 EDU Token,随后利用三次交易将 Token 进行了转手。

EDU智能合约频遭黑客攻击,谁来背锅?

EDU智能合约频遭黑客攻击,谁来背锅?

EDU的声明

针对此次事件,EduCoin(EDU)团队于5月24日上午在官方Twitter上发布了智能合约升级的公告声明,内容如下:

1、EDU团队已于5月23日第一时间通知交易所暂停了充提业务和交易业务。

2、EDU团队已对异常账户出现前的资产地址进行快照,快照时间为2018年5月23日22:51分。智能合约升级后,将对快照地址做资产映射,快照时的用户资产不会受任何影响。

3、EDU团队正全力进行智能合约的升级,预计24-96小时升级成功。4、建议用户在智能合约升级期间,勿进行任何交易行为(场外交易等),以免造成财产损失。

EDU智能合约频遭黑客攻击,谁来背锅?

 
BAI的“秀场”

无独有偶。5月24日凌晨,BAIC(BAI)项目方发现BAI交易存在大量异常问题,并有若干BAI持仓账户出现异常转出情况,同样情况还出现在其他一些ERC20项目上。随即,BAIC官方向其社区用户发布公告,决定立即暂停所有交易所BAI的交易,并建议所有BAI持有人勿进行私下交易或转账操作,以避免损失。经项目方初步分析,认为可能属于ERC20智能合约的新漏洞。

据慢雾区最新消息,此次以太坊与EDU的智能合约是存在一样的安全漏洞,可转走任意账户里的BAI Token。目前也已经发现有大量洗劫行为,并附上了该漏洞的补充修复方法:

EDU智能合约频遭黑客攻击,谁来背锅?

EDU智能合约频遭黑客攻击,谁来背锅?

一直潜伏的危机

截止目前,EDU智能合约漏洞是否会像4月份出现的BatchOverFlow漏洞一样广泛存在于其他众多ERC20项目中还尚未可知,小葱也将随时关注事件进展并及时告知广大用户。

以太坊运行时间还不到3年,便已陆续爆出多项安全漏洞。目前已知存在Solidity漏洞、短地址漏洞、交易顺序依赖、时间戳依赖、可重入攻击等漏洞,在调用合约时漏洞可能被利用,而智能合约部署后难以更新的特性也让漏洞的影响危害性更持久。

智能合约安全漏洞频现并非偶然,当前智能合约缺少监管机制,缺少安全审计流程,其代码安全性与逻辑漏洞仅靠开发人员人工审核,难免存在隐患和漏洞。智能合约的落地推广必然还要经历一个漫长的技术突破期。

而在智能合约真正安全突围之前,币圈众生需加倍关注所持项目的安全动态。在经历过The DAO安全事件,经历过4月份以太坊 ERC-20智能合约安全漏洞风波,以及爆出昨日的XVG持续10几个小时遭受黑客DDOS攻击之后,我们依然要对相关的安全漏洞事件保持十二分警惕,冷静地关注每一则消息与公告,及时做好风险防范。此外,为保证各项业务良好运行,保护数字资产的安全,采用以太坊做为区块链技术方案的开发团队务必要对相关的智能合约代码进行充分测试。

EDU智能合约频遭黑客攻击,谁来背锅?

智能合约安全漏洞事件概览

本文来自小葱快讯,内容仅供参考,不构成投资建议,本文观点不代表立场,转载请联系原作者。

发表评论

登录后才能评论
QR code