比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

區塊鏈:首發 | 遇到有漏洞的DeFi合約概率是多少?審計后又有多大概率被攻擊?

Author:

Time:1900/1/1 0:00:00

身在新冠日增確診10萬例美國的小編,因為硬核原因不得不搭乘飛機出門。出行前一直擔心是否會被感染,途中卻被飛機遇到猛烈氣流的顛簸唬住了。

雖然心里默默安慰自己飛機空難發生的概率非常低,感染新冠肺炎的概率也沒那么高,但還是想起來了四個字:“墨菲定律”

在現代科技發展的大潮流下,鎖定在區塊鏈領域里的資產愈發龐大。隱藏在計算機背后的危機也隨著區塊鏈的發展日益展露猙獰的面目。

智能合約當中,任何一個小bug,都可能會給項目或者投資者造成無法挽回的損失。

受此警示之下,CertiK安全團隊利用CertiK天網系統?,對自北京時間2020年12月4日0時至24時之間,新加入Uniswap的代幣智能合約進行了監控分析。

在本次分析的時間段內,一共產生了29個智能合約代幣項目。

首發 | 歐科云鏈推出“天眼方案”推動鏈上安全系統再升級:8月28日,區塊鏈產業集團歐科云鏈宣布推出區塊鏈“天眼方案”,主要通過鏈上數據追蹤系統研發、對外技術支持、凝聚企業眾力等途徑,全面助力區塊鏈安全提升和產業平穩健康發展。

據了解,在“天眼方案”下,歐科云鏈集團將打造鏈上數據追蹤系統,通過溯源數字資產、監控非法交易等手段,全力遏制洗錢等非法行為;協助執法機關辦案,并為打造法務等區塊鏈系統提供技術支持;為聯盟鏈和基于各類業務的鏈上數據提供區塊鏈+大數據的解決方案。[2020/8/28]

經過CertiK的Skynet分析,總計發現16個智能合約存在漏洞或者缺陷!

大概有55%的智能合約項目或多或少存在漏洞或者缺陷,其中大約有10%存在嚴重漏洞,45%存在項目擁有者權限過大,權限中心化過高的缺陷。

本次分析的智能合約項目名稱和合約地址如下:

首發 | 火幣集團全球業務副總裁:監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日,火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示,對區塊鏈和數字貨幣的監管態度,2019年是重要的一年。在美國,到2019年底,針對加密貨幣和區塊鏈政策有21項法案,這些法案包括稅收問題,監管結構,跟蹤功能和ETF批準,哪些聯邦機構監管數字資產等。歐盟(EU)在2020年1月10日實施了一項新法律,要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士,日本,立陶宛,馬耳他和墨西哥通過法律,要求交易所必須根據KYC和AML準則獲得許可。中國,土耳其,泰國等國家正在計劃自己的中央銀行數字貨幣(CBDC)。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]

分析結果如下:?

雖然難以通過一天的情況來預估所有時間范圍內的智能合約安全情況,但窺一斑而知全豹。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊,近日,DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞,攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息,嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件,DVP安全團隊在收到該漏洞后,第一時間通知該平臺進行修復,但未收到回應。DVP提醒相關用戶關注個人信息安全,以免造成損失。[2019/8/13]

下面主要針對三個相對重要的漏洞進行分析:

nostromo.finance(NSTR)

圖1:burnFrom()函數

圖1中burnFrom函數受到ownerOnly修飾詞限制,只允許項目管理者執行該函數。該函數內部邏輯實現允許通過設置account,balance和subtractValue的值,間接對_totalSupply和給定賬戶的_balances值進行任意修改。

首發 | 螞蟻礦機S17真機圖首次曝光 采用雙筒風扇及一體機設計 ?:繼正式宣布在4月9日現貨銷售后,比特大陸即將發布的新品螞蟻礦機S17又有了新動態。據悉,螞蟻礦機S17真機圖今天在網上首次曝光。

從曝光的圖片來看,螞蟻礦機S17延續上一代產品S15的雙筒風扇設計,且采用一體機的機身設計。有業內人士認為,采用雙筒設計可有效縮短風程,礦機出入風口的溫差變小,機器性能將得到很大改善。

此前比特大陸產品負責人在接受媒體采訪時表示,新品S17較上一代產品相比,無論是在能效比還是單位體積的算力等方面,均有較大提升。[2019/4/3]

PowerPool.Finance(CVP)

圖2:?powerpoolttl合約中回退函數

圖2中為powerpoolttl合約的回退函數。當外部用戶對該智能合約進行調用,如果該調用中沒有調用合約中的任何一個函數,或者僅僅轉移了代幣到該合約中,則回退函數會被調用。70行的邏輯顯示,當回退函數被調用時,調用中被轉移到合同中的代幣會被直接轉移到teamAddress的地址中。

公告 | 火幣全球站6月29日16:00全球首發 Project PAI:火幣全球站定于新加坡時間6月29日16:00 Project PAI (PAI) 充值業務。7月2日16:00在創新區開放PAI/BTC, PAI/ETH交易。7月6日16:00開放 PAI提現業務。[2018/6/29]

omphalos.co(OMPL)

該項目中可以通過執行transferFrom()函數進行對代幣轉移,根據圖3中transferFrom()函數定義,211行需要執行getFee函數決定每次代幣轉移需要扣除的費用。從圖3中getFee()函數的定義可以看到,決定費用高低的邏輯是取決與241行調用的Management.getFee()函數的定義。當前Management.getFee()函數的邏輯定義是根據manager變量中存儲的地址值的不同而進行改變。當前manager變量中存儲的地址值如圖6所示。

然而manager變量中存儲的地址值所指向的智能合約并未在etherscan上被認證,因此無法得知該智能合約的源代碼,繼而無從得知Management.getFee()函數的定義。

由于Management.getFee()函數背后的邏輯無法得知,因此項目擁有者有可能通過操作Management.getFee()函數返回值的方式,調整每次代幣轉移的費用,進行惡意操作等。

圖3:transferFrom()函數

圖4:StandardToken合約中的getFee()函數?

圖5:Management智能合約接口與getFee函數接口

圖6:當前manager變量存儲的地址值

圖7:當前manager變量存儲的地址值指向的智能合約

大家都知道2020年最知名的一個例子——DeFi項目Yam于北京時間8月12日3:00啟動后,盡管該項目的博客文章警告稱尚未對其合約進行任何審計,但瘋狂的Yieldfarmers在不到一小時內向該項目存入了7600萬美元。

后期不出意料,Yam在短短36小時內,數億美元因為一個小小的漏洞,消失于無形。

安全審計現在已經是高質量DeFi項目的標配。當前DeFi項目熱潮持續不減,很多項目為了抓住熱點與機遇,在未經嚴格測試和審計的情況下便匆忙上線。

這些項目中,大部分的漏洞是無法通過常見的測試方法和工具來發現的。只有尋找專業的審計專家進行嚴謹的數學模型證明,才可以發現該漏洞。形式化驗證是當前唯一被證明可以產生可信數學證明的軟件驗證方法。

因此,采用基于形式化驗證方法的區塊鏈檢測工具來驗證項目中的安全漏洞,應成為每一個項目在上鏈前的必經步驟。

每一個項目受到攻擊或是損失資產的原因,都是因為一個非常小的代碼漏洞。

計算機領域中,平均每1000行代碼中,會有1-25個bug。也就是說,這個概率的區間是千分之一至百分之二點五。

那么那些已經接受安全審計并通過的項目呢?

CertiK選取了三家公開審計信息的安全公司進行了數據統計。

此次統計了這三家公司的共計377個被審計的項目。

其中有8個項目在至少被審計過一次的情況下,仍舊遭受到了黑客攻擊。

這8個已審計卻被攻擊的項目,整整損失了6900萬美元。

根據此三家審計公司的數據來計算審計后被黑客攻擊的比例是:8/377=2.12%

代碼產生bug的幾率和項目已通過審計但仍舊被攻擊的概率大抵都約等于2%,在這里舉個簡單的例子:

根據SquareTrade數據統計顯示——在美國,短短一小時內就有5761個手機屏幕壯烈犧牲。假設,美國人均一部手機,并且沒有重復摔同一部手機的癖好。那么50天內,一位美國小伙兒有2%的幾率把手機屏幕摔碎。

但是一部手機的使用壽命肯定不止50天,如果用一年呢?這個概率驟增為15%!使用超過三年半,概率就超過了50%!

這就印證了上文中的墨菲定律——小概率事件的必然性:時間基數夠長的情況下,壞事總會輪到你的。

而空難發生的幾率是五百萬分之一。

相比之下,代碼產生漏洞的概率以及項目已通過審計但仍舊被攻擊的概率是空難的整整12.5萬倍!

如果在飛機顛簸的時候,你害怕飛機失事,那么不妨用超出10萬倍的擔心,去保護你的項目。

這么對比過后,你還覺得項目不需要額外的保障嗎?

為之于未有,制治于未亂。

除靜態審計之外,動態的安全防護更能夠防范攻擊事件。CertiK開發的動態安全工具:快速掃描——安全預言機——CertiKShield,從預警到實時評測到保險計劃,可以全方位為項目方提供安全保障。

Tags:區塊鏈MANAMANETF區塊鏈證據保全怎么操作視頻EmanateBusinessmanTokenAssetFun

芝麻開門交易所
ETA:馮博毅:12.10比特幣“深V誘惑”、后市利潤如何把握?

馮博毅:12.10比特幣“深V誘惑”、后市利潤如何把握?當你在到處尋找文章看建議的時候,證明一點,你在虧損!要么就是對自己操作手法不自信或者結果不理想,我們把資金拿來做投資是為了獲得收益.

1900/1/1 0:00:00
數字人:蘇州DCEP紅包再掀熱潮 數字人民幣法律框架尚待健全

12月5日,蘇州市政府聯合中國人民銀行開展的數字人民幣紅包試點工作正式啟動預約。該試點結合“雙十二蘇州購物節”,通過預約抽簽的方式,面向所有符合條件的蘇州市民發放總計2000萬元的數字人民幣紅包.

1900/1/1 0:00:00
區塊鏈:關于WBF即將上線KCC的公告

尊敬的用戶: WBF即將在開放區上線KCC/USDT交易對,具體上線時間請關注官方公告。 項目介紹: 王者鏈,其意思指的就是用戶不用注冊就能匿名參與的鏈,無需授權就能訪問的區塊鏈.

1900/1/1 0:00:00
The Victor k(VCT-K) project of South Korea was launched in BiONE Exchange at 17:00 on October 13

Vct-kwaslaunchedontheBiONEExchangeat17:00onOctober13(UTC8).

1900/1/1 0:00:00
區塊鏈:富士康遭勒索軟件攻擊,黑客索要價值 3468 萬美元的比特幣贖金

鏈聞消息,據BleepingComputer報道,電子巨頭富士康在墨西哥的一家生產設施遭到了勒索軟件攻擊。攻擊者在對設備加密之前先竊取了未經加密的文件.

1900/1/1 0:00:00
SPARK:關于支持Spark(SPARK)空投XRP(Ripple)用戶的計劃

尊敬的EXX用戶: ????EXX將支持Spark空投XRP用戶的計劃,并將在香港時間2020年12月12日8:00對持有XRP的賬戶進行快照.

1900/1/1 0:00:00
ads