USDT の「誤ったリチャージ」の脆弱性に続き、最近、スローフォグエリアでイーサリアムトークンが再び暴露されましたによると。

によると遅い霧のゾーン今日のニュースによると、イーサリアムトークンの「不正リチャージ」脆弱性は現在広範囲に影響を受けており、関連する集中型取引所、集中型ウォレット、トークンコントラクトなどがすべて影響を受けるという。不完全な統計によると、「不正チャージ」のリスクがあるシングルトークン契約が 3,619 件あり、その中には多くの有名なトークンも含まれています。同氏はまた、現在の脆弱性が実際に攻撃を受けていることを強調し、関連するプロジェクト関係者にできるだけ早く自己調査を実施するよう促した。 7月9日、SlowMist Districtはイーサリアムトークンの「誤ったリチャージ」脆弱性攻撃について早期警告を発した。

公開された内容によると、一部のトークンコントラクトの送金関数は、ユーザーが送金する際に、送金開始者（msg）の残高を確認するためのif判定方式を採用しています。関数シナリオ上、厳密なコーディング方式ではありません。この緩いコーディングは、このメソッドはセキュリティ上の欠陥であり、特殊なシナリオではセキュリティ上の問題を引き起こす可能性があります。攻撃者は、欠陥のあるトークンコントラクトを利用して、集中型取引所、ウォレット、その他のサービスプラットフォームへのリチャージ操作を開始することができ、取引所がTxReceipt Statusが成功と判断しただけの場合、リチャージが成功したと思い込み、「偽リチャージ」を生成する可能性があります。トランザクション」。

修復計画について、Slow Fog District は次のように考えています。脆弱性のあるトークンに対する最善の方法は、再発行してから古いトークンと新しいトークンを「マッピング」することです。。さらに、取引所、プラットフォーム当事者、トークン契約当事者はすべてセキュリティ責任を負う必要があります。取引所にとっては、トランザクションの成功を判断することに加えて、リチャージウォレットアドレスの残高が正確に増加したかどうかも判断する必要があり、セキュリティ監査、トークン契約当事者に対しては、ベストセキュリティプラクティスを厳格に実装する必要があります。第三者の職業安全監査機関を招待して、厳格かつ完全な安全監査を完了させる必要があります。

脆弱性の詳細が公開された後、本稿執筆時点で IOST 当局者は、提携する取引所には「不正請求」のリスクはないと述べています。

6月に発生したUSDTの「不正リチャージ」脆弱性を振り返ると、脆弱性のロジックは同様で、攻撃者は取引所のUSDT取引送金の判定ロジックの欠陥を利用し、悪意を持って不正送金を構築し、取引所トークンを盗用していました。 。

スマート コントラクトの本質は、ブロックチェーン ネットワーク内で実行されるコードであり、ユーザーが割り当てたビジネス ロジックを完成させます。現在のスマートコントラクトの脆弱性の頻度が増加するにつれ、そのセキュリティ問題は徐々に世間の注目を集めるようになりました。によるとRatingToken統計によると、ブロックチェーンの世界で現在毎日新たに生成されるスマートコントラクトは4W～18Wの範囲に及び、バイマオフイ安全保障研究所の「ブロックチェーン業界セキュリティ分析レポート」では、スマートコントラクトによって引き起こされるセキュリティ上の問題により、すでに12億4000万ドルの損失が発生しているとされています。が発生し、損失総額の 43.3% を占めました。

2016年6月には1億5000万ドルを投じて当時最大のICOとなった。TheDAO、スマートコントラクトのため「再帰呼び出しの脆弱性」ハッキングされ、6,000万ドル相当のイーサが盗まれました。具体的には、呼び出し側がsplitDAO関数を使用してDAOアセットを呼び出す場合、この脆弱性により関数が不正に自身を再び呼び出し、プロセスを継続的に繰り返すことが可能になります。このような再帰呼び出しにより、攻撃者の DAO 資産がクリアされるまでに、TheDAO の資産プールから何十回も繰​​り返し分離される可能性があります。攻撃者の DAO 資産はクリアされるべきです。セキュリティ スキャンダルはハード フォークにも直接つながりました。

2018年には新たな抜け穴も出現しており、SMT、BEC、EDU、BAIに代表されるトークンスマートコントラクトの抜け穴はすべて転送ロジックで生成されています。「整数オーバーフローの脆弱性」、この脆弱性により、トークンが無制限に発行されたり、任意に転送されたりする可能性があります。

米国のチェーン BEC を例に挙げると、ハッカーはイーサリアム ERC-20 スマート コントラクトの BatchOverFlow 脆弱性内のデータ オーバーフローの脆弱性を悪用して米国のチェーン BEC スマート コントラクトを攻撃し、コントラクトに存在しない大量のトークンを生成しました。送金により通常の口座に送金すると、口座内で受け取ったトークンを通常通り取引所に送金して取引することができ、本物のトークンと何ら変わりません。

さらに、シンガポール国立大学のロイ・ルー氏らは次のことも発見した。“トランザクション順序の依存関係の脆弱性”、彼らは、スマートコントラクトの実行プロセスにおいて、イニシエーターが関数を呼び出す順序によって異なる出力結果が生成され、ビジネスロジックの抜け穴が形成される可能性があると指摘しました。

現在のスマートコントラクトによって生じた抜け穴を狙う、ブロック・フェンバオ・ラボのテクニカルディレクター張文軍(私は Odaily の記者、Aloe Vera です。ニュース速報や連絡のために WeChat 1012387983 を追加してください。名前、部隊、役職、理由をメモしてください。)

(私は Odaily の記者、Aloe Vera です。ニュース速報や連絡のために WeChat 1012387983 を追加してください。名前、部隊、役職、理由をメモしてください。)