雷鋒網(公眾號:雷鋒網)消息,6 月 15 日,據微信公眾號「 ArmorsLabs 」稱,ArmorsLabs 最近發現並命名了「jaeden」漏洞,該漏洞是迄今為止 ERC20 涉及面最廣的整體性漏洞。
我們來看看「 ArmorsLabs 」給出的分析詳情:
ArmorsLabs 的智能合約掃描系統(IDS) 在分析了以太坊上超過 10000 份 ERC20 智能合約後發現,ERC20 標準的 approve 方法存在巨大安全漏洞,會導致代幣出現被向量攻擊的風險。Armors 稱,其團隊經過市場統計發現,目前已上交易所的數字貨幣中至少有超過 60% 的幣種,在智能合約中使用了存在該漏洞的代碼。
Approve 和 transferFrom 在歷史上是為了 Decentralized Exchange 設計的,用戶可以通過 approve函數授權第三方帳戶為其管理指定額度的代幣。
以太坊官方ERC20 Demo中,approve函數的代碼存在向量攻擊漏洞。簡單描述下就是甲方授權乙方管理自己的數字貨幣,如果甲方想更改乙方的權限,乙方可以提前轉走被授權的貨幣,然後還可以再一次收取新授權的貨幣,從而致使甲方多次轉帳,造成數字財產的損失。
這種授權方式在去中心化交易所、第三方支付和量化基金管理上,被大範圍使用。
在數字貨幣世界裡,在沒有現實等價物、線下交易契約和法律約束的情況下,智能合約就是法律——Code is Law!當Code 出問題時,也就是 Law出了問題,轉帳欺詐可能帶來的這個風險則根本無法回滾,一經生效不可變更!這種有漏洞授權機制會帶來價值幾十億甚至幾百億美元的數字資產存在安全危機。
該漏洞作為以太坊標準導致的重大安全隱患,已經被Armors命名為「jaeden」,並且已經提交到cve平臺,Armors及其他一些世界領先的安全合約代碼庫已經提供了解決此問題的安全代碼。但是,Armors發現一些剛上線的幣,還存在此種漏洞。除此漏洞外,Armors漏洞分析師還發現了更多其他漏洞,比如:
該合約沒有對零地址轉帳進行攔截,引起的後果是:一旦有惡意莊家試圖進行控盤,將大量代幣打入零地址,即可造成該代幣經濟體系紊亂。
雷鋒網了解到,Armors 區塊鏈安全實驗室成立於 2017 年 7 月,是DKB FUND基金首批孵化的項目。Armors Labs 是一個智能合約全生態實驗室,創始技術團隊由360核心安全小組成員及百度、騰訊架構師級別程式設計師組成。
不久前,Armors 獲得1000萬元戰略融資,投資方為由清華大學五道口金融學院GFD校友發起成立的區塊鏈投資基金——DKB FUND基金。
雷鋒網註:該文主要分析內容轉載自 ArmorsLabs。
雷鋒網版權文章,未經授權禁止轉載。詳情見轉載須知。