比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 聚幣 > Info

慢霧發布以太坊代幣「假充值」漏洞細節披露及修復方案_ELE

Author:

Time:1900/1/1 0:00:00

鏈聞訊:

區塊鏈安全公司慢霧科技發布預警,稱部分交易所及中心化錢包遭受以太坊代幣「假充值」漏洞攻擊之后,7月10日表示已通知了大部分交易所和中心化錢包確認漏洞細節。該公司稱,此漏洞影響面很大,將在7月11日公布詳細漏洞分析報告,以下為漏洞分析詳細內容:

漏洞分析報告來自慢霧區公眾號

披露時間線

以太坊代幣「假充值」漏洞影響面非常之廣,影響對象至少包括:相關中心化交易所、中心化錢包、代幣合約等。單代幣合約,我們的不完全統計就有3619份存在「假充值」漏洞風險,其中不乏知名代幣。相關項目方應盡快自查。由于這不僅僅是一個漏洞那么簡單,這已經是真實在發生的攻擊!出于影響,我們采取了負責任的披露過程,這次攻擊事件的披露前后相關時間線大致如下:

2018/6/28慢霧區情報,USDT「假充值」漏洞攻擊事件披露

慢霧首席信息安全官:加密貨幣行業已經出現大量中間人釣魚攻擊案例:金色財經報道,據慢霧首席信息安全官23pds在社交媒體X(原推特)上稱,中間人釣魚越來越成熟,而且在加密貨幣行業已經出現大量此類攻擊案例,攻擊者仿造交易平臺網站,批量撒網釣魚,獲得權限后盜取用戶加密資產。加密貨幣用戶需謹慎,警惕交易釣魚風險,注意資金安全。[2023/8/29 13:03:39]

2018/7/1慢霧安全團隊開始分析知名公鏈是否存在類似問題

2018/7/7慢霧安全團隊捕獲并確認以太坊相關代幣「假充值」漏洞攻擊事件

2018/7/8慢霧安全團隊分析此次影響可能會大于USDT「假充值」漏洞攻擊事件,并迅速通知相關客戶及慢霧區伙伴

2018/7/9慢霧區對外發出第一次預警

2018/7/10慢霧安全團隊把細節同步給至少10家區塊鏈生態安全同行

慢霧余弦:超10萬推特賬號對應的friend.tech錢包地址泄露:金色財經報道,Yearn核心開發者banteg在社交媒體上表示,泄露的數據庫顯示,101,183人授予friend.tech訪問權限,以他們的身份發布信息。

對此慢霧創始人余弦轉發稱,10多萬推特賬號對應的friend.tech錢包地址泄露。這些錢包地址隨便往上一層做下關聯,還能得到更多隱私。[2023/8/21 18:13:48]

2018/7/11細節報告正式公開

漏洞細節

以太坊代幣交易回執中status字段是0x1(true)還是0x0(false),取決于交易事務執行過程中是否拋出了異常。當用戶調用代幣合約的transfer函數進行轉賬時,如果transfer函數正常運行未拋出異常,該交易的status即是0x1(true)。

如圖代碼,某些代幣合約的transfer函數對轉賬發起人(msg.sender)的余額檢查用的是if判斷方式,當balances<_value時進入else邏輯部分并returnfalse,最終沒有拋出異常,我們認為僅if/else這種溫和的判斷方式在transfer這類敏感函數場景中是一種不嚴謹的編碼方式。而大多數代幣合約的transfer函數會采用require/assert方式,如圖:

慢霧:Poly Network再次遭遇黑客攻擊,黑客已獲利價值超439萬美元的主流資產:金色財經報道,據慢霧區情報,Poly Network再次遭遇黑客攻擊。分析發現,主要黑客獲利地址為0xe0af…a599。根據MistTrack團隊追蹤溯源分析,ETH鏈第一筆手續費為Tornado Cash: 1 ETH,BSC鏈手續費來源為Kucoin和ChangeNOW,Polygon鏈手續費來源為FixedFloat。黑客的使用平臺痕跡有Kucoin、FixedFloat、ChangeNOW、Tornado Cash、Uniswap、PancakeSwap、OpenOcean、Wing等。

截止目前,部分被盜Token (sUSD、RFuel、COOK等)被黑客通過Uniswap和PancakeSwap兌換成價值122萬美元的主流資產,剩余被盜資金被分散到多條鏈60多個地址中,暫未進一步轉移,全部黑客地址已被錄入慢霧AML惡意地址庫。[2023/7/2 22:13:22]

當不滿足條件時會直接拋出異常,中斷合約后續指令的執行,或者也可以使用EIP20推薦的if/elserevert/throw函數組合機制來顯現拋出異常,如圖:

慢霧安全:黑客通過繞過未被驗證的賬號,非法增發20億個CASH:據慢霧區情報消息,Solana上的穩定幣項目Cashio遭遇黑客攻擊。據慢霧安全團隊初步分析,黑客通過繞過一個未被驗證的賬號,非法增發了20億個CASH代幣,并通過多個應用將CASH代幣轉化為 8,646,022.04 UST 17,041,006.5 USDC 和26,340,965.68 USDT-USDC LP,獲利總價值:52027994.22 USD(5000多萬美金)。目前官方@CashioApp已發出公告讓用戶暫停使用合約,并發布臨時補丁修復了漏洞。[2022/3/23 14:14:07]

我們很難要求所有程序員都能寫出最佳安全實踐的代碼,這種不嚴謹的編碼方式是一種安全缺陷,這種安全缺陷可能會導致特殊場景下的安全問題。攻擊者可以利用存在該缺陷的代幣合約向中心化交易所、錢包等服務平臺發起充值操作,如果交易所僅判斷如TxReceiptStatus是success就以為充幣成功,就可能存在「假充值」漏洞。如圖:

動態 | 慢霧:Electrum“更新釣魚”盜幣攻擊補充預警:Electrum 是全球知名的比特幣輕錢包,支持多簽,歷史悠久,具有非常廣泛的用戶群體,許多用戶喜歡用 Electrum 做比特幣甚至 USDT(Omni) 的冷錢包或多簽錢包。基于這種使用場景,Electrum 在用戶電腦上使用頻率會比較低。Electrum 當前最新版本是 3.3.8,而已知的 3.3.4 之前的版本都存在“消息缺陷”,這個缺陷允許攻擊者通過惡意的 ElectrumX 服務器發送“更新提示”。這個“更新提示”對于用戶來說非常具有迷惑性,如果按提示下載所謂的新版本 Electrum,就可能中招。據用戶反饋,因為這種攻擊,被盜的比特幣在四位數以上。本次捕獲的盜幣攻擊不是盜取私鑰(一般來說 Electrum 的私鑰都是雙因素加密存儲的),而是在用戶發起轉賬時,替換了轉賬目標地址。在此我們提醒用戶,轉賬時,需要特別注意目標地址是否被替換,這是近期非常流行的盜幣方式。并建議用戶使用 Ledger 等硬件錢包,如果搭配 Electrum,雖然私鑰不會有什么安全問題,但同樣需要警惕目標地址被替換的情況。[2020/1/19]

參考示例TX:

https://etherscan.io/tx/0x9fbeeba6c7c20f81938d124af79d27ea8e8566b5e937578ac25fb6c68049f92e

修復方案

除了判斷交易事務success之外,還應二次判斷充值錢包地址的balance是否準確的增加。其實這個二次判斷可以通過Event事件日志來進行,很多中心化交易所、錢包等服務平臺會通過Event事件日志來獲取轉賬額度,以此判斷轉賬的準確性。但這里就需要特別注意合約作惡情況,因為Event是可以任意編寫的,不是強制默認不可篡改的選項:

emitTransfer(from,to,value);//value等參數可以任意定義

作為平臺方,在對接新上線的代幣合約之前,應該做好嚴格的安全審計,這種安全審計必須強制代幣合約方執行最佳安全實踐。

作為代幣合約方,在編碼上,應該嚴格執行最佳安全實踐,并請第三方職業安全審計機構完成嚴謹完備的安全審計。

后記Q&A

Q:為什么我們采取這種披露方式?

A:本質是與攻擊者賽跑,但是這個生態太大,我們的力量不可能覆蓋全面,只能盡我們所能去覆蓋,比如我們第一時間通知了我們的客戶,然后是慢霧區伙伴的客戶,再然后是關注這個生態的安全同行的客戶,最終不得不披露出細節。

Q:為什么說披露的不僅僅是漏洞,而是攻擊?

A:其實,以我們的風格,我們一般情況下是不會單純去提漏洞,漏洞這東西,對我們來說太普通,拿漏洞來高調運作不是個好方式。而攻擊不一樣,攻擊是已經發生的,我們必須與攻擊者賽跑。披露是一門藝術,沒什么是完美的,我們只能盡力做到最好,讓這個生態有安全感。

Q:至少3619份存在「假充值」漏洞風險,這些代幣該怎么辦?

A:很糾結,一般來說,這些代幣最好的方式是重發,然后新舊代幣做好「映射」。因為這類代幣如果不這樣做,會像個「定時炸彈」,你不可能期望所有中心化交易所、中心化錢包等平臺方都能做好安全對接,一旦沒做好這個「假充值」漏洞的判斷,那損失的可是這些平臺方。而如果平臺方損失嚴重,對整個市場來說必然也是一種損失。

Q:有哪些知名代幣存在「假充值」漏洞?

A:我們不會做點名披露的事。

Q:有哪些交易所、錢包遭受過「假充值」漏洞的攻擊?

A:恐怕沒人會公開提,我們也不會點名。

Q:這些代幣不重發是否可以?

A:也許可以,但不完美。不選擇重發的代幣要么很快是發布主網就做「映射」的,要么得做好通知所有對接該代幣的平臺方的持續性工作。

Q:為什么慢霧可捕獲到這類攻擊?

A:我們有健壯的威脅情報網絡,捕獲到異常時,我們默認直覺會認為這是一種攻擊。

Q:除了USDT、以太坊代幣存在「假充值」漏洞風險,還有其他什么鏈也存在?

A:暫時不做披露,但相信我們,「假充值」漏洞已經成為區塊鏈生態里不可忽視的一種漏洞類型。這是慢霧安全團隊在漏洞與攻擊發現史上非常重要的一筆。

鏈聞ChainNews:提供每日不可或缺的區塊鏈新聞。

原文作者:慢霧鏈聞編輯:Ajina版權聲明:文章為作者獨立觀點,不代表鏈聞ChainNews立場。

來源鏈接:mp.weixin.qq.com

本文來源于非小號媒體平臺:

鏈聞速遞

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3626928.html

以太坊ETH漏洞風險安全

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

眾多項目啟動「道德黑客」賞金計劃,EOS上半年賞金超10萬美元

Tags:TRUUSDELEELECtrustwalletcryptoElectronic USDOneLedgerelec幣怎么樣

聚幣
報告:今年第二季度加密貨幣挖礦惡意軟件攻擊量增長了 86%_HAI

據CCN9月26日報道,截止到2018年上半年,從去年第四季度開始涌現的加密貨幣挖礦惡意軟件的攻擊量在持續增長.

1900/1/1 0:00:00
BitMEX一數據昭示:以太坊或在兩周內面臨大幅回調_BIT

作者:Apatheticco比特幣、以太坊以及許多其他加密資產的價格目前都位于年內的高點,市場有望進入一個明顯的看漲周期。然而,一位ID為“Rptr45”的推特網友表示,市場可能會回調.

1900/1/1 0:00:00
隨手丟掉 7500 個比特幣是一種什么樣的體驗?_ADA

32歲的IT從業者JamesHowells近期成為了一個全職的加密貨幣投資者。他在接受采訪時透露其在2009年丟失了現價超過6000萬美元的比特幣,并且到現在都沒能找回這筆錢.

1900/1/1 0:00:00
5月21日 | 小蔥隔夜重要消息一覽_加密貨幣

1.美國SEC推遲對VanEck及SolidX比特幣ETF的裁決至8月19日。2.美國國稅局宣布即將推出新的加密稅收指南。3.Coinbase以太坊每周交易量創17個月以來新高.

1900/1/1 0:00:00
以太坊面臨嚴峻的擴容挑戰,去中心化、可驗證性和安全性成不可能三角_區塊鏈

在EDCON的第一天,在多倫多舉行的這個以太坊開發者大會上,以太坊創始人VitalikButerin和其他的開發者們都討論到了這個價值達到了760億美元的區塊鏈所面臨的最嚴峻挑戰:那就是擴容問題.

1900/1/1 0:00:00
英特爾 SGX L1TF 漏洞修復更新 BIOS 步驟_BIO

漏洞描述 英特爾近日公布了三個被稱為L1TF漏洞:L1TF–SGX>>>CVE-2018-3615.

1900/1/1 0:00:00
ads