ERC20溢出漏洞频现 是黑客太牛还是合约安全不堪一击?

金色财经讯 区块链行业火爆繁荣的同时,安全问题引发众人瞩目,交易所,智能合约……遭遇黑客疯狂狙击,安全问题迫在眉睫。ERC20溢出漏洞频现 是黑客太牛还是合约安全不堪一击?7月8日,降维安全实验室爆出AMR合约存在高危漏洞,攻击者可随意增发代币。随后圳链安合伙伴BCSEC安全团队,PeckShield安全团队,创宇信息技术有限公司等对此智能合约进行分析并确认漏洞真实存在而且已经被黑客利用。7月8日凌晨1点左右,降维安全实验室(johnwick.io)自动化监控系统监测到AMR合约存在高危安全风险的交易,立即对此安全事件进行全过程还原分析并及时对合作伙伴告警。通过对代码分析,发现其中存在重要安全溢出漏洞,目前已经被人恶意利用并且进行大量增发,降维安全实验室已经对合作伙伴交易所进行高危预警并且停止风险币种交易。降维安全实验室提醒相关机构:智能合约需要进行严格谨慎的安全评估才可以代表资产进行交易,也请相关用户注意数字资产安全。根据美国区块链安全公司CipherTrace发布的报告显示,2018年上半年,加密货币交易所中大约有7.61亿美元的加密货币被盗,被盗规模是2017年全年水平的三倍,2017年全年交易所失窃的加密货币价值为2.66亿美元。安全不仅是交易所的面临的头号难题,更是区块链技术向前发展过程中的阻碍。每当智能合约被曝安全漏洞后,黑客就可以轻易地利用这些漏洞,进行虚拟货币的无限增发、随意转账等等。根据白帽汇安全研究院的《区块链产业安全分析报告》,截止6月底,由于智能合约所导致的安全问题已经造成了12.4亿美元的损失,占到了总损失的43.3%。智能合约漏洞是不可避免的,对于本次AMR合约漏洞造成的损失以及怎样通过技术的手段解决这一漏洞都是人们所关心的问题,对此金色财经记者采访了发现这次漏洞的降维安全实验室的技术人员。以下是采访内容:金色财经记者:降维安全实验室在7月8日监控到AMR合约漏洞,AMR合约漏洞出现的原因是?降维安全实验室:我们对市场上出现的合约会进行长期的监控并进行大数据分析,也正是因为通过这种方式降维安全监控到了AMR合约的漏洞,通过对代码的研究分析,我们发现AMR合约出现漏洞的原因是由于合约代码编写过程中的缺陷导致整数溢出,从而引起用户资产损失的。金色财经记者:AMR合约漏洞出现后造成了怎样的影响,解决的方式是?降维安全实验室:AMR合约漏洞出现后,导致token大量增发,而相关交易所在发现漏洞问题后立即停止了AMR的交易,此次AMR合约漏洞实际上对用户、项目方和交易所都造成了损失。金色财经记者:目前黑客利用漏洞增发增发AMR代币的量是多少?对用户造成了哪些影响?降维安全实验室:黑客通过AMR合约漏洞增发了11579208923731620000000000000000000000000000000000000000000000代币,持有这些代币的用户资产被无限稀释近乎清零,此漏洞是由于整型溢出问题引起,最终会导致原交易发起人使用0个或者少量的币就可以给其他地址转入大量的代币。金色财经记者:目前AMR合约漏洞问题解决的进展如何?降维安全实验室:AMR合约项目方已经在进行紧急整改,相信不久就会有更完善的版本发布。金色财经记者:安全公司称发现黑客利用了multiTransfer 函数触发漏洞具体是怎样一个过程,从技术角度看严重程度是多少?是否容易修复?降维安全实验室:我们通过对代码研究分析的确发现黑客利用了multiTransfer这个函数,其中最关键的点在于一个整数溢出导致相关的逻辑判断失效,从而绕过合约的安全检查直接修改用户的token数量,通过直接使用安全的数学运算操作方法可以及解决该问题。金色财经记者:这次AMR合约漏洞和ERC20代币漏洞有何相似之处?降维安全实验室:这次AMR合约漏洞是在合约里非常典型的一个整数溢出问题,属于合约语言层面编写不当导致的问题,如果没有经过严格的安全审计就会造成资产损失,之前ERC20代币里已经出现过几次类似的案例,比如BEC美蜜价值归零漏洞以及SMT代币溢出漏洞问题。ERC20代币之所以频繁出现漏洞问题,是因为新上线的合约基本上都是直接复制ERC20的智能合约模板。为了安全起见,应该尽量选择安全性较高的权威模板,降低出现漏洞的风险。金色财经记者:安全问题一直是备受关注,交易所,智能合约漏洞频发,您认为应该如何推动整个区块链行业对安全的重视,降维安全在此过程中将会扮演怎样的角色,未来将会提供怎样的产品或服务,今后如何布局?降维安全实验室:区块链技术是价值互联网的基石,无论是交易所、钱包还是智能合约,整个生态里任何角色的安全问题都可能对行业的发展产生影响,区块链本身也是公开透明的,进行重要的安全事件披露可以让越来越多的人关注区块链安全,了解区块链安全并且重视区块链安全,从而推动区块链行业安全的进步,降维安全实验室以守护价值互联网为出发点,未来会提供更多的安全预警以及安全解决方案,为行业输出更多的安全能力。安全问题一直是区块链行业的“顽疾”,针对这种“顽疾”目前依旧没有完全治愈“顽疾”的良方,所以金色财经提醒用户投资时尽量选择体量大的交易所和投资机构,降低资产被盗风险;提醒交易所和安全机构应该加大对安全方面的关注和投入,从而更好的促进区块链行业健康发展。

Comments are closed.