Sau lỗ hổng "nạp tiền sai" trong USDT, gần đây, khu vực sương mù chậm lại lộ token Ethereumdựa theo。

dựa theovùng sương mù chậmTheo tin tức hôm nay, lỗ hổng "nạp tiền sai" của mã thông báo Ethereum hiện đang bị ảnh hưởng rộng rãi và các sàn giao dịch tập trung liên quan, ví tập trung, hợp đồng mã thông báo, v.v. đều bị ảnh hưởng. Theo thống kê chưa đầy đủ, có 3619 hợp đồng mã thông báo đơn lẻ có nguy cơ "nạp tiền sai", bao gồm nhiều mã thông báo nổi tiếng. Ông cũng nhấn mạnh rằng lỗ hổng hiện tại đã thực sự bị tấn công và kêu gọi các bên dự án có liên quan tiến hành tự kiểm tra càng sớm càng tốt. Vào ngày 9 tháng 7, SlowMist District đã đưa ra cảnh báo sớm về cuộc tấn công bằng lỗ hổng "nạp tiền sai" đối với mã thông báo Ethereum.

Theo các chi tiết được tiết lộ, khi người dùng chuyển tiền, chức năng chuyển của một số hợp đồng mã thông báo sử dụng phương pháp phán đoán if để kiểm tra số dư của người khởi tạo chuyển (tin nhắn. Đây không phải là một phương thức mã hóa nghiêm ngặt trong kịch bản chức năng. Mã hóa lỏng lẻo này method là một lỗ hổng bảo mật, có thể dẫn đến các sự cố bảo mật trong các tình huống đặc biệt. Những kẻ tấn công có thể sử dụng hợp đồng mã thông báo bị lỗi để bắt đầu các hoạt động nạp tiền vào các sàn giao dịch tập trung, ví và các nền tảng dịch vụ khác. Nếu sàn giao dịch chỉ đánh giá rằng Trạng thái TxReceipt là thành công, thì nó có thể nghĩ rằng việc nạp tiền thành công và tạo ra "nạp tiền sai". giao dịch”.

Đối với kế hoạch sửa chữa, Slow Fog District tin rằng,Cách tốt nhất đối với các mã thông báo có lỗ hổng là phát hành lại, sau đó "ánh xạ" mã thông báo cũ và mới. Ngoài ra, các sàn giao dịch, các bên nền tảng và các bên hợp đồng mã thông báo đều phải chịu trách nhiệm về bảo mật. Đối với trao đổi, ngoài việc đánh giá sự thành công của giao dịch, nó cũng nên đánh giá xem số dư của địa chỉ ví nạp tiền có tăng chính xác hay không; kiểm toán bảo mật; đối với các bên hợp đồng mã thông báo, các biện pháp bảo mật tốt nhất nên được thực hiện nghiêm ngặt và nên mời cơ quan kiểm toán an ninh nghề nghiệp của bên thứ ba hoàn thành một cuộc kiểm tra an ninh nghiêm ngặt và đầy đủ.

Sau khi các chi tiết về lỗ hổng được công bố, tính đến thời điểm báo chí, các quan chức của IOST đã tuyên bố rằng không có sàn giao dịch hợp tác nào của họ có nguy cơ "nạp tiền sai".

Nhìn lại lỗ hổng "nạp tiền sai" USDT xảy ra vào tháng 6, logic của lỗ hổng cũng giống như vậy, kẻ tấn công cũng đã sử dụng các lỗ hổng trong logic phán đoán của sàn giao dịch đối với các giao dịch chuyển USDT để xây dựng các chuyển khoản giả nhằm đánh cắp mã thông báo của sàn. .

Bản chất của hợp đồng thông minh là một đoạn mã chạy trong mạng chuỗi khối, hoàn thành logic nghiệp vụ do người dùng chỉ định. Với tần suất ngày càng tăng của các lỗ hổng hợp đồng thông minh hiện tại, các vấn đề bảo mật của nó đã dần thu hút sự chú ý của công chúng. dựa theoRatingTokenTheo thống kê, các hợp đồng thông minh mới hàng ngày hiện tại trong thế giới blockchain dao động từ 4W-18W và trong "Báo cáo phân tích bảo mật ngành công nghiệp chuỗi khối" của Viện nghiên cứu bảo mật Baimaohui, các vấn đề bảo mật do hợp đồng thông minh gây ra đã gây thiệt hại 1,24 tỷ đô la phát sinh, chiếm 43,3% tổng số thiệt hại.

Vào tháng 6 năm 2016, nó đã trở thành ICO lớn nhất vào thời điểm đó với 150 triệu đô la MỹTheDAO, vì hợp đồng thông minh của nó"Lỗ hổng cuộc gọi đệ quy"Bị tấn công, dẫn đến việc đánh cắp số ether trị giá 60 triệu đô la. Cụ thể, khi người gọi sử dụng chức năng splitDAO để gọi tài sản DAO, lỗ hổng sẽ cho phép chức năng tự gọi lại một cách bất hợp pháp, sau đó lặp lại quá trình liên tục. Một cuộc gọi đệ quy như vậy có thể khiến tài sản DAO của kẻ tấn công bị tách ra khỏi nhóm tài sản của TheDAO hàng chục lần trước khi bị xóa. Tài sản DAO của kẻ tấn công nên bị xóa. Vụ bê bối bảo mật cũng trực tiếp dẫn đến một hard fork.

Vào năm 2018, các lỗ hổng mới cũng đang xuất hiện và các lỗ hổng hợp đồng thông minh mã thông báo được đại diện bởi SMT, BEC, EDU và BAI đều được tạo ra trong logic chuyển giao."Lỗ hổng tràn số nguyên", lỗ hổng này có thể dẫn đến việc phát hành không giới hạn hoặc chuyển mã thông báo tùy ý.

Lấy chuỗi BEC của Hoa Kỳ làm ví dụ, tin tặc đã khai thác lỗ hổng tràn dữ liệu trong lỗ hổng BatchOverFlow trong hợp đồng thông minh Ethereum ERC-20 để tấn công hợp đồng thông minh BEC của chuỗi Hoa Kỳ và tạo ra một lượng lớn Token không tồn tại trong hợp đồng bằng phương tiện chuyển Và chuyển nó vào một tài khoản bình thường, và Mã thông báo nhận được trong tài khoản có thể được chuyển bình thường sang sàn giao dịch để giao dịch, không khác gì Mã thông báo thật.

Ngoài ra, Loi Luu và những người khác từ Đại học Quốc gia Singapore cũng đã phát hiện ra rằng“Lỗ hổng phụ thuộc lệnh giao dịch”, họ chỉ ra rằng trong quá trình thực hiện hợp đồng thông minh, các kết quả đầu ra khác nhau có thể được tạo ra do thứ tự mà người khởi tạo gọi các chức năng, tạo thành các lỗ hổng logic nghiệp vụ.

Nhắm vào các lỗ hổng do hợp đồng thông minh hiện tại tạo ra, giám đốc kỹ thuật của Block Fengbao LabTrương Văn Quân(Tôi là Aloe Vera, phóng viên của Odaily. Vui lòng thêm WeChat 1012387983 để cập nhật tin tức và liên lạc. Vui lòng ghi rõ họ tên, đơn vị, chức vụ và lý do.)

(Tôi là Aloe Vera, phóng viên của Odaily. Vui lòng thêm WeChat 1012387983 để cập nhật tin tức và liên lạc. Vui lòng ghi rõ họ tên, đơn vị, chức vụ và lý do.)