确定回复
返回顶部
    1. EDU智能合约频遭黑客攻击,谁来背锅?

      小葱快讯
      2018-05-25 10:57:11 来源: 小葱快讯
        据区块链安全团队PeckShield 称,黑客早在5月20日就开始发动了对EDU的攻击,当天完成了 4 笔交易,第一笔交易是利用 Allow 函数的漏洞从项目方的地址中偷走了 30 亿枚 EDU Token,随后利用三次交易将 Token 进行了转手。  

      5 月 23 日-24日, EDU和BAI的先后被爆出现重大安全漏洞,现已发现有大量洗劫行为。

      EDU的漏洞

      据行情显示,EDU现均价0.0033美元,5日内跌幅达43.75%,BAI现均价0.0033美元,5日内跌幅达34.75%。

      导致此次黑客可任意转走持有者账户里所有的 EDU的漏洞具体为:其智能合约中transferFrom 函数内,未校验 allowed[_from][msg.sender] >= _value 并且函数内 allowed[_from][msg.sender] -= _value; 没有使用 SafeMath,导致无法抛出异常并回滚交易,且由于合约没有 Pause 设计,无法及时止损。

      据区块链安全团队PeckShield 称,黑客早在5月20日就开始发动了对EDU的攻击,当天完成了 4 笔交易,第一笔交易是利用 Allow 函数的漏洞从项目方的地址中偷走了 30 亿枚 EDU Token,随后利用三次交易将 Token 进行了转手。

      EDU的声明

      针对此次事件,EduCoin(EDU)团队于5月24日上午在官方Twitter上发布了智能合约升级的公告声明,内容如下:

      1、EDU团队已于5月23日第一时间通知交易所暂停了充提业务和交易业务。

      2、EDU团队已对异常账户出现前的资产地址进行快照,快照时间为2018年5月23日22:51分。智能合约升级后,将对快照地址做资产映射,快照时的用户资产不会受任何影响。

      3、EDU团队正全力进行智能合约的升级,预计24-96小时升级成功。4、建议用户在智能合约升级期间,勿进行任何交易行为(场外交易等),以免造成财产损失。

       
      BAI的“秀场”

      无独有偶。5月24日凌晨,BAIC(BAI)项目方发现BAI交易存在大量异常问题,并有若干BAI持仓账户出现异常转出情况,同样情况还出现在其他一些ERC20项目上。随即,BAIC官方向其社区用户发布公告,决定立即暂停所有交易所BAI的交易,并建议所有BAI持有人勿进行私下交易或转账操作,以避免损失。经项目方初步分析,认为可能属于ERC20智能合约的新漏洞。

      据慢雾区最新消息,此次以太坊与EDU的智能合约是存在一样的安全漏洞,可转走任意账户里的BAI Token。目前也已经发现有大量洗劫行为,并附上了该漏洞的补充修复方法:

      一直潜伏的危机

      截止目前,EDU智能合约漏洞是否会像4月份出现的BatchOverFlow漏洞一样广泛存在于其他众多ERC20项目中还尚未可知,小葱也将随时关注事件进展并及时告知广大用户。

      以太坊运行时间还不到3年,便已陆续爆出多项安全漏洞。目前已知存在Solidity漏洞、短地址漏洞、交易顺序依赖、时间戳依赖、可重入攻击等漏洞,在调用合约时漏洞可能被利用,而智能合约部署后难以更新的特性也让漏洞的影响危害性更持久。

      智能合约安全漏洞频现并非偶然,当前智能合约缺少监管机制,缺少安全审计流程,其代码安全性与逻辑漏洞仅靠开发人员人工审核,难免存在隐患和漏洞。智能合约的落地推广必然还要经历一个漫长的技术突破期。

      而在智能合约真正安全突围之前,币圈众生需加倍关注所持项目的安全动态。在经历过The DAO安全事件,经历过4月份以太坊 ERC-20智能合约安全漏洞风波,以及爆出昨日的XVG持续10几个小时遭受黑客DDOS攻击之后,我们依然要对相关的安全漏洞事件保持十二分警惕,冷静地关注每一则消息与公告,及时做好风险防范。此外,为保证各项业务良好运行,保护的安全,采用以太坊做为方案的开发团队务必要对相关的智能合约代码进行充分测试。

      智能合约安全漏洞事件概览

      THE END
      点赞(187)
      收藏(0)
      分享此文章
      标签: 以太坊 智能合约
      本文来自小葱快讯,内容仅供参考,不构成投资建议,本文观点不代表 FN (Fintech News)|FN.com立场,转载请联系原作者。 如有侵权 请联系删除。
跟帖

0

参与

0

发表评论
  • 暂无评论~
深度
世链直播间|元界三周年,中国公链如何穿越牛熊异军突起?
2017年2月11日,元界主网便正式上线,如今已经三年,在过去的三年中,元界在技术和社区方向都得到了...
wanglin

2020-02-22 14:32:13
全球热点
币圈凛冬将至,潜伏哪些项目以待星火燎原
自6月份市场开启下跌模式以来,主流币、山寨币整体跌幅巨大。ETH、EOS、ONT等主流币种先后上演跳...
小竹笋

2019-10-25 16:43:59
EOS 比特币
深度
贝索斯和巴菲特的启示:关注长期的人有巨大竞争优势
本文是混沌大学创办人李善友教授在混沌创新院第一模块的最后一课《你真的理解透贝索斯了吗?》的内容,值得...
资管网

2019-06-27 10:57:43
深度
5大内部细节,解密Facebook加密货币Libra研发内幕
由于毫无经验可循,Facebook团队在筹划加密货币的过程中屡屡碰壁,有员工为解决问题甚至每天工作2...
梁雨山

2019-06-21 11:06:49
深度
双面趣店:躺赚之下的真实战局
高速增长的趣店和不断失败的趣店,哪一个是真实的趣店?
零壹财经

2019-06-20 12:18:46