3619 Ethereum 토큰 계약에 "허위 재충전" 취약점이 있습니까? 스마트 계약 취약성에 대해 알아보기

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

3619 Ethereum 토큰 계약에 "허위 재충전" 취약점이 있습니까? 스마트 계약 취약성에 대해 알아보기

芦荟

2018-07-11 05:54

本文约1741字，阅读全文需要约7分钟

통화 서클의 보안 뒤에는 프로그래머가 궁극적인 보스입니다.

USDT의 "허위 충전" 취약점에 이어 최근 슬로우 포그 영역에서 이더리움 토큰이 다시 노출되었습니다.~에 따르면。

~에 따르면느린 안개 지대오늘 뉴스에 따르면 이더리움 토큰의 "허위 충전" 취약점은 현재 광범위하게 영향을 받고 있으며 관련 중앙화 거래소, 중앙화 지갑, 토큰 계약 등이 모두 영향을 받고 있습니다. 불완전한 통계에 따르면 많은 잘 알려진 토큰을 포함하여 "잘못된 충전"의 위험이 있는 3619개의 단일 토큰 계약이 있습니다. 또한 현재의 취약점이 실제로 공격을 받은 것이라고 강조하며, 관련 프로젝트 당사자들이 조속히 자체 점검을 실시할 것을 당부했다. 7월 9일, SlowMist District는 이더리움 토큰의 "허위 충전" 취약성 공격에 대한 조기 경고를 발령했습니다.

공개된 내용에 따르면, 사용자가 돈을 이체할 때 일부 토큰 컨트랙트의 이체 기능은 이체 개시자의 잔액을 확인하기 위해 if 판단 방식을 사용한다(msg. 함수 시나리오에서 엄격한 코딩 방법이 아니다. 이 느슨한 코딩은 방법은 특수 시나리오에서 보안 문제로 이어질 수 있는 보안 결함입니다. 공격자는 결함이 있는 토큰 계약을 사용하여 중앙화 거래소, 지갑 및 기타 서비스 플랫폼에 대한 충전 작업을 시작할 수 있습니다.거래소에서 TxReceipt 상태가 성공이라고만 판단하면 충전이 성공한 것으로 간주하여 "가짜 충전"을 생성할 수 있습니다. 업무".

수리 계획을 위해 Slow Fog District는 다음과 같이 믿습니다.취약성이 있는 토큰에 대한 가장 좋은 방법은 재발행한 다음 이전 토큰과 새 토큰을 "매핑"하는 것입니다.. 또한 거래소, 플랫폼 당사자 및 토큰 계약 당사자는 모두 보안 책임을 져야 합니다. 거래소는 거래의 성공 여부를 판단하는 것 외에도 충전 지갑 주소의 잔액이 정확히 증가했는지 여부를 판단해야 하며, 보안 감사, 토큰 계약 당사자에 대한 최상의 보안 관행을 엄격하게 구현해야 합니다. 제3자 직업 보안 감사 기관을 초청하여 엄격하고 완전한 보안 감사를 완료해야 합니다.

취약성에 대한 세부 정보가 공개된 후, 보도 시간 현재 IOST 관계자는 협력 거래소 중 어느 것도 "허위 재충전"의 위험이 없다고 밝혔습니다.

지난 6월 발생한 USDT "허위 충전" 취약점을 살펴보면 취약점의 논리는 동일합니다. .

스마트 계약의 본질은 블록체인 네트워크에서 실행되는 코드 조각으로, 사용자가 할당한 비즈니스 로직을 완성합니다. 현재 스마트 계약 취약점의 빈도가 증가함에 따라 보안 문제가 점차 대중의 관심을 끌었습니다. ~에 따르면RatingToken통계에 따르면 현재 블록체인 세계에서 매일 새로운 스마트 계약은 4W-18W 범위이며 Baimaohui 보안 연구소의 "블록체인 산업 보안 분석 보고서"에서는 스마트 계약으로 인한 보안 문제로 인해 이미 12억 4천만 달러의 손실이 발생했습니다. 전체 손실의 43.3%를 차지했다.

2016년 6월 미화 1억 5천만 달러로 당시 최대 규모의 ICO가 되었습니다.TheDAO, 스마트 계약 때문에"재귀 호출 취약점"해킹되어 6천만 달러 상당의 이더리움이 도난당했습니다. 특히, 호출자가 splitDAO 기능을 사용하여 DAO 자산을 호출할 때 취약성으로 인해 함수가 불법적으로 자신을 다시 호출한 다음 프로세스를 계속 반복할 수 있습니다. 이러한 재귀 호출은 공격자의 DAO 자산을 TheDAO의 자산 풀에서 수십 번 분리한 후 청산할 수 있으며 공격자의 DAO 자산을 청산해야 하며 보안 스캔들도 직접적으로 하드 포크로 이어졌습니다.

2018년에는 새로운 허점도 등장하고 있으며, SMT, BEC, EDU, BAI로 대표되는 토큰 스마트 컨트랙트 허점은 모두 전송 로직에서 생성됩니다."정수 오버플로 취약점", 이 취약점으로 인해 토큰이 무제한 발행되거나 임의로 전송될 수 있습니다.

미국 체인 BEC를 예로 들면, 해커들은 이더리움 ERC-20 스마트 계약의 BatchOverFlow 취약점에 있는 데이터 오버플로 취약점을 악용하여 미국 체인 BEC 스마트 계약을 공격하고 계약에 존재하지 않는 막대한 양의 토큰을 생성했습니다. 이체를 통해 일반계좌로 이체하고, 그 계좌로 받은 Token은 거래소로 정상적으로 이체하여 거래할 수 있으며, 이는 실제 Token과 다름이 없습니다.

또한 Loi Luu와 싱가포르 국립 대학교의 다른 사람들도 다음과 같은 사실을 발견했습니다.“거래 주문 종속성 취약성”, 그들은 스마트 컨트랙트 실행 과정에서 initiator가 함수를 호출하는 순서에 따라 다른 출력 결과가 생성되어 비즈니스 로직 허점을 형성할 수 있다고 지적했습니다.

Block Fengbao Lab의 기술 이사는 현재 스마트 계약이 생성하는 허점을 노리고 있습니다.장원준(저는 오데일리 알로에베라 기자입니다. 속보 및 소통은 위챗 1012387983을 추가해주세요. 이름, 소속, 직위, 이유를 적어주세요.)

(저는 오데일리 알로에베라 기자입니다. 속보 및 소통은 위챗 1012387983을 추가해주세요. 이름, 소속, 직위, 이유를 적어주세요.)

芦荟

作者文库