记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Soda项目智能合约安全漏洞分析

 北京时间9月21日,CertiK安全研究团队发现soda区块链项目中存在智能合约安全漏洞,该漏洞允许任意外部调用者通过调用智能合约函数,无视受害用户债务中的代币数目,强行结算受害用户的债务,并将通过结算操作所得的收益转入到自己的收款地址。soda项目官方现在已经提交修复补丁来修复这个安全漏洞,但由于soda项目采用了TimeLock来将所有的操作延迟48小时,修复补丁会在延迟事件之后生效,因此截止发稿时,该漏洞已完成修复。
发布时间:2020-09-27 18:07 | 阅读:15381 | 评论:0 | 标签:漏洞 智能合约 智能 安全

ETHBMC:智能合约的有界模型检查器

 智能合约的引入极大地推动了加密货币的最新发展。智能合约是生活在区块链上的程序,用于控制资金流向。但是,获得金钱收益的承诺吸引了错误的人,导致了骇人听闻的黑客攻击,导致数百万美元的货币损失。作为响应,开发了一些强大的静态分析工具来解决这些问题。对最近提出的针对以太坊智能合约的八种静态分析器进行了调查,发现它们都无法捕获以太坊生态系统的所有相关功能。例如,发现缺少精确的内存模型,仅部分支持合约间分析。基于这些见解,介绍了基于符号执行的有界模型检查器的设计和实现,该模型检查器提供了以太坊网络的精确模型。通过一系列实验证明其功能。
发布时间:2020-09-17 17:32 | 阅读:7260 | 评论:0 | 标签:智能合约 智能

ForTube 智能合约已通过慢雾科技安全审计

收录于话题 ✎ 前言 慢雾安全团队于 2020 年 5 月,完成对 ForTube Bond 模块的合约安全审计服务。慢雾安全团队于 2020 年 8 月,完成对 ForTube Bank 模块的合约安全审计服务。注: ForTube Bond 模块主要合约代码及 ForTube Bank 模块主要合约地址见文末。ForTube 是原力协议将债券融资协议、货币借贷协议和去中心化稳定币协议集成的一个加密开放金融服务平台。
发布时间:2020-09-14 17:30 | 阅读:8070 | 评论:0 | 标签:审计 智能合约 智能 安全

SushiSwap及SushiSwap仿盘YUNO与KIMCHI智能合约漏洞或存安全隐患

 北京时间8月28日,CertiK发现SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。
发布时间:2020-09-02 19:52 | 阅读:14247 | 评论:0 | 标签:漏洞 智能合约 智能 安全

CertiK安全分析:SushiSwap仿盘 YUNO与KIMCHI智能合约漏洞或存安全隐患

北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNo Finance (YUNO)与KIMCHI.finance (KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。无限增发漏洞以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下: 在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。
发布时间:2020-09-02 17:27 | 阅读:11456 | 评论:0 | 标签:漏洞 智能合约 智能 安全

CertiK:SushiSwap智能合约漏洞事件分析

北京时间8月28日,CertiK安全研究团队发SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。
发布时间:2020-08-31 11:44 | 阅读:8613 | 评论:0 | 标签:漏洞 智能合约 智能

智能合约中的那些后门漏洞

作者:Al1ex @ 知道创宇404区块链安全研究团队时间:2020年8月20日前言智能合约的概念可以追溯到1994年,由Nick Szabo提出,但直到2008年才出现采用智能合约所需的区块链技术,而最终于2013年,作为以太坊智能合约系统的一部分,智能合约首次出现。智能合约包含了有关交易的所有信息,只有在满足要求后才会执行结果操作,智能合约和传统纸质合约的区别在于智能合约是由计算机生成的,因此,代码本身解释了参与方的相关义务,与此同时,用户可以根据规则开发自己想要的智能合约。
发布时间:2020-08-20 11:27 | 阅读:10873 | 评论:0 | 标签:后门 漏洞 智能合约 智能

一朝跌落云端,Yam Finance智能合约漏洞事件分析 ​

红薯刚种下,就得挖出来了?今日DeFi领域再次发生一起魔幻事件,呼声极高的红薯项目一经上线,流动性矿工们就开始疯狂涌入。短短8个小时内,Yam Finance中锁仓总价值就超过2亿美元。COMP挖矿带动了DeFi产业出圈,而YAM直接带动了DeFi头部项目集体上涨,堪称“一飞冲天”。然而短短36小时内,眼见它高楼起,高楼塌。数亿美元因为一个小小的漏洞,消失于无形。本以为反应迟钝的自己损失了一个亿,没想到保住了自己的五块钱。好好的小红薯,究竟承受了什么? 事件背景8月12日,YAM Finance官方宣布他们发现了一个智能合约漏洞,并称该漏洞将生成超出最初设定数量的YAM代币。
发布时间:2020-08-19 18:03 | 阅读:10897 | 评论:0 | 标签:漏洞 智能合约 云端 智能

CertiK:Based智能合约出现漏洞 重新部署其一号池事件分析

“亡羊补牢,为时未晚”,这句话在生活中的大部分时候均适用。然而,在面临网络安全时,牢破也许就会造成无法挽回的损失。在安全问题未造成不可弥补的损失前就被发现,或是一开始便做好万全准备,才是身为区块链从业者的安全第一要义。北京时间8月14日下午,CertiK安全技术团队发现DeFi匿名耕种项目Based官方宣布有攻击者通过调用Based智能合约中的某一个函数,将一号池(Pool 1)冻结,同时宣布将重新部署其一号池。官方发布推特称,有黑客试图将“Pool1”永久冻结,但尝试失败。而“Pool1”将继续按计划进行。
发布时间:2020-08-18 17:14 | 阅读:17144 | 评论:0 | 标签:漏洞 智能合约 智能

CertiK:一朝跌落云端,Yam Finance智能合约漏洞事件分析 ​

红薯刚种下,就得挖出来了?今日DeFi领域再次发生一起魔幻事件,呼声极高的红薯项目一经上线,流动性矿工们就开始疯狂涌入。短短8个小时内,Yam Finance中锁仓总价值就超过2亿美元。COMP挖矿带动了DeFi产业出圈,而YAM直接带动了DeFi头部项目集体上涨,堪称“一飞冲天”。然而短短36小时内,眼见它高楼起,高楼塌。数亿美元因为一个小小的漏洞,消失于无形。本以为反应迟钝的自己损失了一个亿,没想到保住了自己的五块钱。好好的小红薯,究竟承受了什么?事件背景8月12日,YAM Finance官方宣布他们发现了一个智能合约漏洞,并称该漏洞将生成超出最初设定数量的YAM代币。
发布时间:2020-08-14 19:01 | 阅读:17413 | 评论:0 | 标签:漏洞 智能合约 云端 智能

智能合约安全实践(一)| 功能实现千万条,权限安全第一条

引子: “庖人虽不治庖,尸、祝不越樽俎而代之矣。”  — 《庄子·逍遥游》古时候,有一位杰出的领袖名叫唐尧。他所治理的地区人们安居乐业,但是他听闻隐士许由十分有才干,便萌生了将领导权让给许由的想法。但是许由拒绝了,并说出了这样一段话“鹪鹩巢于深林,不过一枝。”至此,后人也用越俎代庖一词来表达越权的含义。“越俎代庖”在智能合约的实现中存在着访问权限,如果权限设置不合理,很容易造成智能合约被攻击,严重的还会造成巨大的经济损失。
发布时间:2020-07-10 17:56 | 阅读:16274 | 评论:0 | 标签:厂商供稿 成都链安 智能合约 权限安全

智能合约代码层漏洞小记

一.前言 这周由于兴(lao)趣(shi)趋(yao)势(qiu),阅读了几篇以太坊智能合约安全综述,对其中的几个代码层漏洞进行整理归纳,并结合安全事件与相关案例进行分析,如有不正确的地方,还望各位大佬多多指正。 二.以太坊智能合约程序编程模型 1.程序结构 以太坊上的智能合约主要是通过Solidity进行编写,Solidity是一种具有面向对象性质的弱类型语言。在以太坊上部署智能合约时,开发人员需要先将使用Solidity编写的智能合约代码编译为以太坊虚拟机可执行的二进制代码。
发布时间:2020-04-26 17:47 | 阅读:25631 | 评论:0 | 标签:漏洞 DELEGATECALL EVM External/Public Function Selector Solidi

与无源码智能合约交互的三种方式

概述在做CTF比赛中,我们经常会碰到出题方为了加大题目难度而不给出合约源码的智能合约赛题。通常在借助工具做了静态分析后,有了解题思路,但是发现不知该如何与合约进行交互。因为自己之前在做题时遇到过这个问题,在网上找了很久,包括官方接口、别人的js脚本等,总是无法执行成功。还好最终解决了问题,然后趁最近不忙,总结一下。
发布时间:2020-03-05 12:04 | 阅读:28553 | 评论:0 | 标签:智能合约

基于智能合约的区块链跳池攻击预防方案

 0x01 Pool Hopping attack跳池攻击(Pool Hopping attack)是矿工在提供财务奖励较少时离开矿池,而在采矿产生更高奖励时又加入的结果。这种离开和重新加入矿池的行为会让矿工得到比他们贡献的计算能力更多的回报。离开矿池的矿工夺走了了矿池的集体哈希能力,这使矿池无法成功挖掘该区块,从而导致其竞争对手在其完成之前就挖掘了该块。现有很多池跳防御措施和检测策略,但是它们没有提供任何强大的预防性解决方案来阻止矿工离开矿池。本文为了防止跳池攻击,提出了一种基于智能合约的跳池攻击预防模型。
发布时间:2020-03-03 15:54 | 阅读:25904 | 评论:0 | 标签:攻击 智能合约

一个有点意思的以太坊智能合约蜜罐

一篇以前写的文,现在修改补充了些许,发了上来前言以太坊中的智能合约蜜罐相对于互联网蜜罐的目的有着本质的区别:后者着重在于诱导攻击,然后做检测分析,来收集攻击手法与漏洞;而前者更像是一场赌博的骗局,利用种种方法,诱导目标转账进入合约,完成韭菜收割。但是这个蜜罐的名词也是挺恰当的,就也这么叫了。有趣的是智能合约蜜罐其目标锁定在智能合约开发者,智能合约代码审计人员,略懂区块链技术的信息安全人员(emmmm)通常而言智能合约蜜罐的欺骗性在于区块链漏洞,逻辑漏洞;又或是赌博合约。此处介绍的是利用第三方组件导致的智能合约蜜罐。
发布时间:2020-02-19 09:38 | 阅读:43115 | 评论:0 | 标签:智能合约

ADS

标签云

本页关键词