2019年09月13日AirSwap團隊公布了一個AirSwap智能合約中存在致命的漏洞,這一漏洞可以使得用戶的資產在某些情況下被對手惡意吃單『偷盜』,PeckShield安全人員獨立分析了該漏洞,并與AirSwap團隊溝通了細節和修復方案。
漏洞影響概述
PeckShield安全人員深入分析AirSwap智能合約后發現,這一漏洞只對最近上線的Wrapper有影響,AirSwap團隊在發現該問題后第一時間下線當前合約,并將AirSwap網站回退到之前使用的合約,從合約上線到問題修復整個過程僅持續了24小時,可見AirSwap團隊對于合約安全的重視程度之高。
PeckShield安全人員獨立分析了漏洞細節,并與AirSwap團隊溝通細節和修復的方案,同時將該漏洞命名為“ItchySwap”。
PeckShield在此提醒,由于這一漏洞可使用戶的資產被攻擊者惡意偷盜,受此次影響的賬號一共有18個,其中有部分賬號有數萬至數十萬美元的資產,這些賬號需要盡快完成升級,或與AirSwap團隊聯系。
Cardano公布The Voltaire Era研討會選定的申請人名單:金色財經報道,Input Output Global、EMURGO和Cardano基金會公布了選定的申請人名單,以領導旨在討論CIP-1694的研討會。本提案旨在為Cardano的The Voltaire Era時代建立鏈上去中心化治理機制。遴選過程競爭激烈,收到了來自全球不同地區(包括北美、拉美和非洲)的超過75份申請。
The Voltaire Era時代旨在使用投票系統和國庫創建一個去中心化的民主網絡。參與者可以使用他們的股份和投票權來影響網絡的發展,提高透明度和包容性以實現長期生存能力。研討會將于5月至7月舉行,他們的主要重點將是探索CIP-1694中提出的鏈上治理的最新發展。面對面的研討會將在全球20多個地點舉行,為與會者提供獨特的機會,與當地的Cardano社區建立聯系、交流思想和合作。還將有超過25個虛擬研討會,使無法親自參加的人也可以參加。[2023/5/14 15:01:46]
ItchySwap漏洞詳解
Fairmint推出未來股權持續協議CAFE:總部位于舊金山的區塊鏈初創公司Fairmint宣布推出未來股權持續協議CAFE(ContinuousAgreementforFutureEquity),作為SAFE的升級版,CAFE旨在實現3個目標,即創始人希望對公司有更多的長期控制權,利益相關者希望獲得自己青睞公司的財務上行收益,投資者則希望增加投資的流動性(可能利用去中心化的AMM和證券交易平臺來簡化CAFE的交易)。[2020/9/25]
一、AirSwap合約
在分析之前,為方便起見,我們先定義幾個概念:
1.maker:出售資產的一方;
2.taker:購買資產的一方;
3.order:maker與taker之間發生資產交割的訂單;
4.Indexer:AirSwap中的訂單簿,匯聚了當前正在出售及需要購買的資產信息。
Alameda Research為TradAir的OTC網絡提供加密流動性:以色列貿易技術解決方案提供商TradAir與Alameda Research合作,后者聲稱管理超過1億美元的數字資產,每天交易6億至15億美元。這將允許Alameda加入TradAir的OTC加密貨幣流動性提供商網絡。雖然這一合作將側重于為TradAir的加密貨幣產品提供外匯式流動性,但它也為Alameda打開了新的交易機會。(Financemagnates)[2020/7/15]
下圖說明了maker、taker和Indexer之間的交互流程:
AirSwap是一個基于Ethereum的點對點去中心化交易所,它集成了SwapProtocol,在其中作為一個自動托管服務,允許交易的雙方在以太坊上安全地交易任何資產。與許多去中心化交易所不同,AirSwap雖然沒有對資金進行托管控制,但仍然有一個用于匹配目的的集中式訂單簿,它實現了一個用于交易和訂單匹配的完全對等模型。
動態 | 以太坊去中心化交換協議AirSwap推出洞賞金計劃:金色財經報道,以太坊去中心化交換協議AirSwap宣布推出漏洞賞金計劃,獎勵高達20,000 DAI(價值20,000美元)。該賞金計劃從現在開始,并將無限期地繼續。對于低級修復,賞金獎勵最高為250 DAI;對于高級修復,最高獎勵為2,000 DAI;如果AirSwap團隊確定風險嚴重性已達到臨界水平,則獎勵將高達20,000 DAI。[2019/12/5]
特別值得一提的是,有一個名為Indexer的鏈下服務,可以聚合來自maker和taker的交易意圖,然后為他們提供匹配的服務。特別是,一旦taker找到了合適的maker,他們就會開始進行場外價格的談判。一旦達成協議,訂單將由Taker通過SwapProtocol在鏈上進行填充和資產交割。
在AirSwap智能合約中,taker將訂單上鏈及資產交割的過程在AirSwapswap(Types.Ordercalldata_order)函數之中,這一函數實現如下所示:
聲音 | Uber、Airbnb投資人Jeffrey Wernick:ICO的設計是有問題的:金色財經現場報道,11月20日,Uber、Airbnb投資人Jeffrey Wernick在“2018區塊鏈新經濟杭州峰會”第二天的會議現場以“新經濟模型及激勵機制”為主題進行了演講。他表示,ICO這種方式本質上就是為了逃避政府和SEC的監管,這是有問題的,沒有監管,募資的人就沒有責任,很有可能發行的通證會歸零。他還表示,一開始他就不看好ICO,并警告大家不要碰它,ICO對整個區塊鏈行業是有危害的。[2018/11/20]
1)驗證訂單有效性
訂單order參數有效性檢查,這些信息均由taker上鏈的時候指定的,也意味著這些信息都可以由taker篡改,具體包含:
1.訂單還在有效期內;
2.訂單還沒有被其它的taker吃單;
3.訂單還沒有被取消;
4.訂單的nonce大于最小值;
5.設置訂單狀態為TAKEN狀態。
2)驗證taker信息
確立有效的taker,根據order中指定或者等同于合約的調用方msg.sender。
3)驗證maker信息
驗證maker的有效性,這里的驗證分為兩種情況考慮:
1.沒有maker簽名的訂單:需要保證msg.sender有權限操作這個maker地址即可,即這筆order發起者有權限操作maker的資產;
2.order中指定了maker的簽名信息:驗證簽名的有效性。
4)資產交割
如果上述的驗證流程沒有問題,那么直接執行maker和taker的資產交割。
二、Wrapper合約
在上述的AirSwap合約中,用戶通過swap()函數執行資產互換,這一流程非常清晰,沒有問題。但是這一合約存在一點不完美的地方,用戶只能通過Token進行資產互換,無法直接用ETH平臺幣參與其中。用戶可以先把ETH轉換成WETH,再用WETH參與互換,但無論如何,用戶使用體驗上多了一步。
為了降低用戶使用體驗上的摩擦,AirSwap團隊與2019年09月12日推出了Wrapper合約,其使用是自動將用戶轉入的ETH轉換成WETH之后再參與資產互換的過程,其關鍵流程如下:
1.驗證swap()發起方與taker是相同的;
2.如果用戶發起swap()有攜帶了ETH資產,并且需要轉換的token為WETH,那么就自動將ETH轉換成WETH;
3.直接調用AirSwap合約的swap()操作。
考慮到一種特殊的場景,Alice希望通過Wrapper合約執行AirSwap資產互換,這一過程需要先由Alice自行在AirSwap合約中授權Wrapper合約,以允許Wrapper合約可以執行各自的資產交割流程。
由于區塊鏈的透明性,Eve看到了Alice的授權操作,那么他就可以向Wrapper合約發起一筆惡意的訂單,其包含的內容如下:
1.order中的有效時間、nonce為一個非常大的數值;
2.order中的maker對應的賬號為Alice的賬號;
3.order中的taker為空;
4.order的signature為空。
將上述構造好的order代入AirSwap的swap()函數,其中1,2兩步的驗證由于是taker控制的,不會有問題,我們重點看下第三步驗證maker信息:
由于此時AirSwap合約是由Wrapper合約調用的,那么msg.sender即Wrapper合約的地址,前文講到,Wrapper合約是經過Alice授權可直接控制Alice的資產,此時雖然Eve沒有權限操作Alice的資產,但此時可以通過Wrapper控制,也就間接地控制了Alice的資產。
安全規避
PeckShield安全人員分析發現,截止至2019年09月28日為止,共有6個賬號執行了revoke()操作,以解除對Wrapper合約的授權,還有12個賬號存在安全風險,這剩下的所有賬號應當立即執行revoke()操作,或者將賬號中的資產轉移至未對Wrapper授權過的安全賬號。
任何的代碼在上線生產環境之前都應當得到充分的測試和驗證,特別是承載著用戶價值的DEX平臺。在產品增加新特性之時,一定要考慮到舊特性的兼容性與安全,新特性的引入不應該觸發舊產品中設計不完備的地方。
附錄
備注:AirSwap官方漏洞細節鏈接:https://medium.com/fluidity/critical-vulnerability-in-a-new-airswap-smart-contract-c1204e04d7d3
尊敬的用戶: “WBF聯合GYB,國慶邀請7天樂”活動已于2019年10月8日00:00結束,活動獎勵將于2019年10月9日24:00點前發放到賬,您可登錄WBF交易所賬戶.
1900/1/1 0:00:00幾乎所有的加密貨幣玩家都知道一個廣為流傳的統計數字:95%的人都在賠錢。如果向更深處挖掘一下,就會發現有研究表明這個數字或許會更高。這個領域以驚人的速度涌現出無數有理想抱負的人.
1900/1/1 0:00:00尊敬的ZG.top用戶:應項目方要求,ZG.top即將提前上線DYX。這是DYX的全球獨家首發,并開放DYX/USDT的交易市場,具體時間如下:1,DYX充值:2019年10月06日17:00;.
1900/1/1 0:00:00尊敬的用戶: CWT首發上線BiKi平臺,聯合平臺舉辦“三重豪禮瓜分40萬CWT”社群活動,詳情如下:活動時間:10月09日15:00-10月11日24:00,具體時間以社群通知為準,敬請關注.
1900/1/1 0:00:00堅守初心·相約十年 十年,在任何的人生歷程里,都不算太短。十年,可以歷經的坎坷太多,可以完成的使命也太多。十年,足矣將理想變成現實,實現逆襲.
1900/1/1 0:00:00北京時間10月2日8點,反映加密貨幣市場整體走勢的ChaiNext100指數報732.35點,過去24小時下跌0.02%,成交額345.67億美元,成交較前24小時減少5.25%.
1900/1/1 0:00:00