以太坊重大漏洞!或使Token供应量增发
- 巴比特
- 2018-06-20 13:32
近日,黑客利用特殊场景下的以太坊合约重大漏洞进行攻击,导致TOKEN总供应量发生变化。ATN技术团队发现并修复了该漏洞。
5月11日,ATN技术人员收到异常监控警示,显示ATN TOKEN总供应量出现变化,介入后确定TOKEN合约受到黑客攻击。ATN技术团队定位到,ERC223标准推荐合约实现与DS-AUTH库同时使用时可能发生非常罕见的权限漏洞。
除了耳熟能详的ERC20,ERC233、ERC721等也都是在以太坊上的标准推荐合约实现。此次攻击,黑客利用了一个ERC223合约与DS-AUTH库的混合漏洞,重设了owner权限,进行了ATN Token的增发。这个漏洞虽然比较隐秘,但安全等级很高。
在ATN技术人员的快速反应和妥善处理下,黑客的攻击没有得逞,ATN技术团队也为以太坊社区其他使用ERC223标准的项目成员提供了漏洞review与修复案例。
以下为ATN技术团队披露的漏洞分析和黑客攻击过程:
为了让ATN接收合约具备转账后处理功能,ATN Token合约采用的是兼容ERC20 Toke标准的扩展标准ERC223,并在其中使用了dapphub/ds-auth 库。单独使用ERC223或者ds-auth 库时,并没有什么问题,但是两者结合时,黑客利用自定义回调函数回调setOwner方法,从而获得高级权限。通过利用这ERC223方法与DS-AUTH库的混合漏洞,黑客将ATN Token合约的owner变更为自己控制的地址。获取owner权限后,黑客发起另外一笔交易对ATN合约进行攻击,调用mint方法给另外一个地址进行TOKEN的发行。最后,黑客调用 setOwner 方法将权限复原。
合约无小事,区块链合约的安全,仅依靠开发者的经验和能力并非万无一失。过去业内的几次合约漏洞事件也说明了这个问题,如著名的TheDAO被盗、近来的EDU、BAIC、SMT等ERC20漏洞攻击。
ATN已堵上此漏洞、冻结黑客增发的Token及实施对黑客的追踪。修复后的合约成功通过了第三方专业区块链安全机构慢雾科技的安全审计,合约安全威胁已解除。另外,据悉,ATN已启动主链加速计划,并将与慢雾等安全机构在合约、节点安全标准及运行环境和风险控制等方面开展长期的战略合作。
相关文章
资讯
- 2020-12-28
国产大飞机研制取得重大进展 民营航空企业迎来发展新机遇
- 2020-12-07
双十二好物推荐,一款超能打的智能教育笔记本
- 2020-11-26
用技术驱动企业采购模式升级,京东企业购助力中小企业数字化转型
- 2020-11-03
守卫平安保障,提防保险“代理全额退保”诸多风险危害
- 2020-10-30
工厂里的“新面孔”,进博“大家伙”这样助力中国制造提质升级
- 2020-10-28
2021第五届中国上海国际车轮及轮胎展览会暨嘉年华活动
- 2020-10-28
2021中国上海国际汽车底盘及制动系统展览会
- 2020-10-19
京东企业业务发布技术服务品牌“电解智” 用“+服务”的综合性解决方案保障技术产品落地
- 2020-10-13
财富健康双保障 平安人寿“金瑞人生21”重磅上市
- 2020-09-29
《小马宝莉之彩虹音爆》全球首站,在成都正式开演!
- 2020-09-27
《小马宝莉之彩虹音爆》全球首站,在成都正式开演!
- 2020-09-27
全息技术儿童剧场《小马宝莉之彩虹音爆》亮相成都,全球首演!
- 2020-09-09
平安相伴,"救"在身边 平安人寿客服节用健康之礼回馈用户
- 2020-09-03
AMTech & AMC2021新闻发布会暨全球启动仪式9月2日在深圳成功召开
- 2020-08-19
美国第一家!苹果市值一度突破2万亿美元
原创
荐读
-
智能手机竞争中失败,日本在联网汽车领域举步维艰
据外媒报道,在制造带有数字联网服务的汽车的竞争中,丰田汽车和日产汽车面临着被本土市场拖累的风险。与美国和欧洲的汽车消费者不同的是,日本消费者不愿意为这些联网功能和服务买单。结果就是:日本只有10%的汽车...
-
2020年河南省将推广应用3万台工业机器人
到2020年,推广应用3万台工业机器人,建设1000条智能生产线、300个智能车间、150个智能工厂……4月16日,在2018两岸智能装备制造郑州论坛上,河南省工信委发布了《2017年河南省智能制造白皮书》,河南智能制造的2020...
-
全国首个获批建设国家技术标准(贵州大数据)创新基地
近日,国家标准委复函批准 , 同意贵州省建设国家技术标准 ( 贵州大数据 ) 创新基地,标志着贵州成为全国首个获批建设大数据国家技术标准创新基地的省份。按照国家标准委批复要求,国家技术标准 ( 贵州大数据 ) 创新...