智能合約能解決諸多問題,但它們本身卻似乎問題纏身。EOS中存在的RAM致命漏洞和原因一度成為幣圈頭條,一周后,一家代碼審核公司揭示了智能合約中普通存在漏洞的現象。安全公司Hosho與社區管理公司Amazix的最新合作發現,每四個智能合約項目中就有一個存在嚴重的漏洞。
10億美元并不能保證不出現漏洞
10億美元——這是Hosho審計過的智能合約項目所籌集的資金數額。這家安全公司聲稱,它審計的智能合約比審計過的其他行業公司都要多。盡管這些項目有大量的人力和財力資源可供使用,但如果他們忽視對其代碼進行徹底審查,他們中的許多項目將會陷入癱瘓。Hosho審計過的項目中,有四分之一被發現存在嚴重的漏洞,大約60%的項目至少存在一個安全問題。
安全公司:Apache NFT SalesRoom發生Rug Pull,部署者獲利68萬美元:金色財經報道,據Beosin Alert監測,BNB Chain鏈上Apache NFT SalesRoom(ASN)發生Rug Pull,部署者獲利約68萬美元。部署者將大量代幣轉移到地址0xdc8開頭地址,現在該地址已以68萬美元的BSC-USD價格拋售了100萬枚ASN。[2023/8/3 16:16:06]
ICO項目的啟動平臺以太坊受到的影響最為嚴重,其中存在的大量可利用代碼導致數億美元的以太幣被竊取或鎖定。雖然像Stratis這樣的智能合約平臺正在推動使用C#來調試部署套件和專業反編譯器的可用性,但是以太坊的圖靈完備系統為漏洞留下了更大的余地。識別和消除所有潛在的安全漏洞是一項永無休止的的任務,即使是經驗豐富的可靠開發人員也很難做到這一點。獲得專門從事智能合約審計的第三方的支持,雖然不能確保萬無一失,但卻是避免發布漏洞叢生代碼的最好辦法。
安全公司:ElasticSwap項目被攻擊,攻擊者共獲利約85.4萬美元:12月13日消息,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,ElasticSwap被攻擊,由于合約中的添加流動性與移除流動性的計算方式不一致,在添加流動性功能中使用常規的恒定K值算法,但在移除流動性功能中直接獲取了當前池子中兩種代幣的余額進行計算,攻擊者首先添加流動性,之后再將一定數量的USDC.E轉入TIC-USDC交易池中,此時計算出應轉給攻擊者的USDC.E數量已經在基礎上乘以了LP代幣數量即數倍,之后攻擊者再調用移除流動性方法獲利22454枚AVAX(約合290,328美元)。同時,以太坊鏈上ElasticSwap下的AMPL-USDC池子也被同樣的手法攻擊,攻擊者獲利約445枚ETH(約合564,000美元),截止目前兩筆獲利資金均存放在攻擊者賬戶。
第一筆攻擊tx:https://snowtrace.io/tx/0x782b2410fcc9449ead554a81f78184b6f9cca89f07ea346bc50cf11887cd9b18;
第一筆攻擊者賬戶:0x25fDe76A52D01c83E31d2d3D5e1d2011ff103c56。
第二筆攻擊tx:https://etherscan.io/tx/0xb36486f032a450782d5d2fac118ea90a6d3b08cac3409d949c59b43bcd6dbb8f;
第二筆攻擊者賬戶:0xbeadedbabed6a353c9caa4894aa7e5f883e32967。[2022/12/13 21:41:23]
智能合約測試服務
安全公司CertiK提醒已確認NoaSwap由詐騙集團運營:官方消息,安全公司CertiK表示,已確認NoaSwap由負責SheepSwap的同一詐騙集團運行。CertiK提醒用戶保持警惕。[2021/4/11 20:07:42]
雖然行業慣例是在代幣發售前對智能合約進行審計,但尚未籌集資金的項目可能會嘗試走捷徑,在這一程序上節省開支。然而,這樣的做法可能是致命的,因為最惡性的漏洞會導致錢包被洗劫一空,而通過操縱緩沖區溢出漏洞可以更改帳戶余額。數個基于以太坊的項目在執行第一次智能合約時就搞砸了,然后被迫進行代幣替換。
在EOS方面,本周所有的精力都集中在修復最近發現的RAM漏洞上。這個漏洞允許惡意用戶“在他們的帳戶上設置代碼,這樣他們就可以以另一個賬戶的名義插入執行向他們發送代幣的代碼行。「當DAPP/用戶向它們發送代幣時,他們可以在行中插入大量無用數據,從而鎖定RAM。」
Amazix是加密貨幣經濟領域內一家卓越的社區管理和咨詢公司,現已與Hosho合作,為客戶提供智能合約審計服務。Amazix首席營銷官肯尼思?貝爾森說道:
在缺乏行業標準的情況下,我們認為智能合約審計和滲透測試是確保區塊鏈系統良好安全性的重要組成部分。在我們看來,沒有誰比Hosho的工程師更有資格做這件事的了。
加密貨幣的擁躉者們認為,智能合約最終會滲透到從保險到糾紛解決等服務的方方面面中來。在此之前,在治理智能合約的代碼上建立信任至關重要。
鏈聞ChainNews:提供每日不可或缺的區塊鏈新聞。
原文作者:KaiSedgwick文章來源:巴比特中文編譯:Libert版權聲明:文章為作者獨立觀點,不代表鏈聞ChainNews立場。
來源鏈接:news.bitcoin.com
本文來源于非小號媒體平臺:
鏈聞速遞
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3626997.html
漏洞風險安全
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
巴西政府向本地加密貨幣交易所發送調查問卷
Tags:SWAPUSDSHOEOSPaybswapusda幣是法幣3X Short Algorand TokenEOS幣最新消息
近日,北京云集隱居四合院出現了一臺比特幣自助購買機,引起業內關注。5月20日,Odaily星球日報實地探訪后發現,上市不到一周,該機器竟突然撤離.
1900/1/1 0:00:00澳大利亞計算機協會本周發布了“澳大利亞區塊鏈挑戰”報告,報告研究了區塊鏈技術在被廣泛采用之前必須克服的技術,法律和教育障礙.
1900/1/1 0:00:00據TokenGazer數據顯示,截止至5月22日11時,期貨方面,目前目前Bitfinex和BitMEX總多單量統計數據為$142.8M,總空單量數據為$43.6M.
1900/1/1 0:00:00ECOREAL上線幣客BITKER交易所公告敬愛的BITKER用戶:BITKER于2018/10/2918:00正式開啟ECOREAL/BTC。ECOREAL是新一代全球房地產投資代幣.
1900/1/1 0:00:00原文閱讀時長5分鐘:https://medium.com/@ChrisHerd/why-the-blockchain-promises-a-safer-future-and-how-big-bu.
1900/1/1 0:00:00俄羅斯殺軟件及網絡安全供應商卡巴斯基實驗室在昨日發布的報告中分析了加密貨幣攻擊的主要模式和趨勢.
1900/1/1 0:00:00