以太坊重大漏洞!或使Token供应量增发

网络
  • 巴比特
  • 2018-06-20 13:32

近日,黑客利用特殊场景下的以太坊合约重大漏洞进行攻击,导致TOKEN总供应量发生变化。ATN技术团队发现并修复了该漏洞。

ETH20180620133600.png

5月11日,ATN技术人员收到异常监控警示,显示ATN TOKEN总供应量出现变化,介入后确定TOKEN合约受到黑客攻击。ATN技术团队定位到,ERC223标准推荐合约实现与DS-AUTH库同时使用时可能发生非常罕见的权限漏洞。

除了耳熟能详的ERC20,ERC233、ERC721等也都是在以太坊上的标准推荐合约实现。此次攻击,黑客利用了一个ERC223合约与DS-AUTH库的混合漏洞,重设了owner权限,进行了ATN Token的增发。这个漏洞虽然比较隐秘,但安全等级很高。

在ATN技术人员的快速反应和妥善处理下,黑客的攻击没有得逞,ATN技术团队也为以太坊社区其他使用ERC223标准的项目成员提供了漏洞review与修复案例。

以下为ATN技术团队披露的漏洞分析和黑客攻击过程:

为了让ATN接收合约具备转账后处理功能,ATN Token合约采用的是兼容ERC20 Toke标准的扩展标准ERC223,并在其中使用了dapphub/ds-auth 库。单独使用ERC223或者ds-auth 库时,并没有什么问题,但是两者结合时,黑客利用自定义回调函数回调setOwner方法,从而获得高级权限。通过利用这ERC223方法与DS-AUTH库的混合漏洞,黑客将ATN Token合约的owner变更为自己控制的地址。获取owner权限后,黑客发起另外一笔交易对ATN合约进行攻击,调用mint方法给另外一个地址进行TOKEN的发行。最后,黑客调用 setOwner 方法将权限复原。

合约无小事,区块链合约的安全,仅依靠开发者的经验和能力并非万无一失。过去业内的几次合约漏洞事件也说明了这个问题,如著名的TheDAO被盗、近来的EDU、BAIC、SMT等ERC20漏洞攻击。

ATN已堵上此漏洞、冻结黑客增发的Token及实施对黑客的追踪。修复后的合约成功通过了第三方专业区块链安全机构慢雾科技的安全审计,合约安全威胁已解除。另外,据悉,ATN已启动主链加速计划,并将与慢雾等安全机构在合约、节点安全标准及运行环境和风险控制等方面开展长期的战略合作。


来源:巴比特

作者:

编辑:jinpeng

图片来源:

本文链接: https://www.aiust.com/article/20180620/298.html

声明:除非注明,本站文章均为AIUST.Com原创或编译,转载时请注明文章作者和“来源:AIUST.Com”,AIUST.Com尊重行业规范,每篇文章都标有明确的作者和来源。文章为作者观点,不代表AIUST.Com立场。部份图片来自网络,如有侵权,请联系我们删除!

相关文章

资讯

原创

荐读

  • 智能手机竞争中失败,日本在联网汽车领域举步维艰 智能手机竞争中失败,日本在联网汽车领域举步维艰

    据外媒报道,在制造带有数字联网服务的汽车的竞争中,丰田汽车和日产汽车面临着被本土市场拖累的风险。与美国和欧洲的汽车消费者不同的是,日本消费者不愿意为这些联网功能和服务买单。结果就是:日本只有10%的汽车...

  • 2020年河南省将推广应用3万台工业机器人 2020年河南省将推广应用3万台工业机器人

    到2020年,推广应用3万台工业机器人,建设1000条智能生产线、300个智能车间、150个智能工厂……4月16日,在2018两岸智能装备制造郑州论坛上,河南省工信委发布了《2017年河南省智能制造白皮书》,河南智能制造的2020...

  • 全国首个获批建设国家技术标准(贵州大数据)创新基地 全国首个获批建设国家技术标准(贵州大数据)创新基地

    近日,国家标准委复函批准 , 同意贵州省建设国家技术标准 ( 贵州大数据 ) 创新基地,标志着贵州成为全国首个获批建设大数据国家技术标准创新基地的省份。按照国家标准委批复要求,国家技术标准 ( 贵州大数据 ) 创新...

热门标签