安全鏈實驗室|Eosbet被黑客攻擊?誰來維護智能合約的安全
大名鼎鼎的Eosbet,技術實力強勁,代碼安全性高、容錯性高,這都是毋庸置疑的。然而,就在幾小時前,黑客利用合約漏洞,無成本薅走 bet 獎池將近 5萬EOS。這一事件迅速成為幣圈內外討論的熱門話題……
區塊鏈安全越來越被人們所重視,有人說區塊鏈本身的去中心化結構、不可篡改特性,就保證了他從誕生之初,就更是個靠譜boy,事實是這樣嗎?
很遺憾,安全專家如是說:區塊鏈技術的不成熟,給了黑客更多的可趁之機……
我們為什麼這麼說?bet的合約漏洞又是怎樣被攻擊的?就繼續從區塊鏈激勵層和合約層的安全性開始講起吧
我們在整理了幾萬字的資料後,這就分享給你聽~
從認識激勵層開始,了解區塊鏈奇妙的激勵機制。
區塊鏈激勵層主要包括經濟激勵的發行機制和分配機制,目的是提供一定的激勵措施鼓勵節點參與區塊鏈的安全驗證工作。區塊鏈系統的安全性以及運行依賴於眾多節點的參與,而節點的運行過程亦需要耗費一定的計算資源和電能,因此為了鼓勵節點參與,採用虛擬貨幣的形式來獎勵參與者。以比特幣為例,獎勵機制包括了兩種,第一種是新區塊產生後系統生成的比特幣,第二種是每筆交易會扣除萬分之一比特幣作為手續費。
在區塊鏈的獎勵機制中,獎勵既要符合市場行情又要符合曠工的預期,區塊鏈項目需要順應自動適當調整獎勵,避免出現中心化問題。
合約層主要封裝各類腳本、演算法和智能合約,是區塊鏈可編程特性的基礎。智能合約是一種旨在以信息化方式傳播、驗證或執行合同的計算機協議,具備運行成本低、人為干預風險小等優勢。由於區塊鏈不可篡改的特點,使得智能合約一旦發布極難修改,開發者在設計之初就要充分重視合約的安全性,如果智能合約的設計存在問題,將有可能帶來較大的損失。
目前區塊鏈智能合約中可能出現的漏洞至少有20餘種,其中比較常見的有整數溢出、越權訪問、信息泄露、邏輯錯誤、拒絕服務、函數誤用等漏洞。
? 整數溢出:智能合約中危險的數值操作,可能導致合約失效、無限發幣等風險;
? 越權訪問:智能合約中對訪問控制處理不當,可能導致越權發幣風險;
? 信息泄露: 硬編碼地址等,可能導致重要信息的泄露;
? 邏輯錯誤:代理轉賬函數缺失必要校驗,可能導致基於重入漏洞的惡意轉賬等風險;
? 拒絕服務:循環語句、遞歸函數、外部合約調用等處理不當,可能導致無限循環、遞歸棧耗盡等拒絕服務風險;
? 函數誤用:偽隨機函數調用和介面函數實現問題,可能導致可預測隨機數、介面函數返回異常等風險。
攻擊案例:
? 2016年6月,發生了一起重大的智能合約安全事件,由於The DAO編寫的智能合約存在著重大缺陷,眾籌項目The DAO(被攻擊前擁有1億美元左右資產)遭到攻擊,價值6000萬美元的以太幣被盜,迫使以太幣被硬分叉為ETH和ETC。
? 2018年4月,攻擊者利用數據溢出的漏洞攻擊BeautyChain(BEC)的智能合約,成功地向兩個地址轉出了天量級別的 BEC 代幣,導致市場上海量 BEC 被拋售,損失約10億美元。
Security Chain 安全鏈實驗室
Security Chain is a project based on Blockchain security and ecological construction. It has the research on the basis of underlying technology of Blockchain security and the world』s exclusive core chip-level security hardening solution. The team members have extensive experience.
安全鏈專註於打造區塊鏈安全和生態系統。我們區塊鏈安全技術和全球首創的核心晶元級安全加固解決方案進行研究。團隊成員匯聚了全球頂級的黑客組織成員,擁有豐富安全攻防經驗。
歡迎聯繫我們~
點擊合作郵箱 koalasecc@gmail.com
直戳小秘書微信號:18817584547
點擊關注
知乎用戶歡迎訂閱Security Chain微信公眾號
公眾號ID: SecurityChain_SECC
推薦閱讀:
※truffle編譯部署以太坊智能合約
※安全|一行代碼就能逆轉人生,智能合約漏洞該注意了
※加密世界鏈(CWV)首條多鏈機制融合主鏈
※EOS合約可重新部署
※智能合約中的隨機數生成演算法