各位朋友,大家好,歡迎來到小安為大家總結的過去一週區塊鏈業界安全週報。
7月24日,最近一週FOMO 3D資金盤遊戲火遍幣圈,其開發商似乎也有些“膨脹”,指出“我發現了一種被認為相當於EVM核彈的漏洞。”。誰想以太基金會的Péter Szilágyi不但駁斥了這種說法,還曝光了FOMO3D的一個漏洞,或者說邏輯瑕疵。
據多家安全廠商分析,攻擊者可以利用這一漏洞,預先生成地址,進而調用相關函數,獲得ETH,即我們通常所說的“薅羊毛”。嚴格來說,這並不是嚴重的安全問題,但是由於FOMO 3D火爆後,大量遊戲抄襲其代碼衍生出了若干類似遊戲,讓這一邏輯瑕疵得以“傳播”,形成了區塊鏈代碼開源文化下獨特的安全問題。
7月25日,幣圈必備工具Etherscan.io近期遭遇一起黑客攻擊事件,這起事件對網站和用戶本身並無實質傷害,只是會顯示彈框,彈出消息“1337”。據悉,這一情況主要在用戶離開一些評論頁面時出現,隨著用戶將這一問題在Twitter上報告,Etherscan官方也已經對有問題的評論頁面進行處理。
7月26日,與FOMO 3D的“空投漏洞”相比,各類FOMO 3D的山寨遊戲本身的惡意行為,在過去一週成為相關遊戲參與者更大的安全威脅。
EOS版的類似遊戲“狼人遊戲”被傳利用了普通用戶對EOS權限機制的認知缺陷,在代碼中,對用戶賬號更新了權限,存在賬戶中款項被提走的安全問題。
接著,同樣是這款遊戲遭遇攻擊,出現整型溢出問題,使得獎池中的金額變成負數,遊戲也因此停止運營。
而FOMO 3D的另一款山寨遊戲FOMO short也被爆出了權限問題,其若干admin調用給予了owner過高權限,特別是轉賬權限。在這種情況下,owner有能力將獎金池、用戶尚未轉移到錢包的分紅轉移出來,即存在所謂的“跑路”的可能。
從以上問題我們可以發現,儘管一些交易所對“上幣”已經提出了智能合約的審計要求。但是,如FOMO 3D這樣的區塊鏈合約應用,本身並不發幣,並不依賴於交易所這樣本質上中心化的途徑發行和被監管,全憑自身機制設計得以流行。這種情況下,儘管其代碼開源,但是自身並未進行相應的安全審計,絕大部分參與者也沒有相應的技術能力識別其安全級別,從而暴露在重大的安全問題之下而不自知。
7月26日,北京鏈安綜合報道,在中心化交易所出現諸多問題的情況下,去中心化交易所正被投資者給予厚望,以解決諸如交易所遭受攻擊被盜幣,交易所內部操控幣價等問題。近日,去中心化交易所Wave在業務上已經取得階段性成功,日交易電子幣價值達到600萬美元。但是,就在本週,該交易所也爆出安全問題,一次釣魚式攻擊讓用戶的錢包助記詞可能被盜。目前,安全漏洞已經得到解決,但是也說明去中心化本身並不能解決交易所的安全問題。
7月26日,北京鏈安綜合報道,正在進行ICO的項目KICKICO遭遇黑客襲擊,損失金額預計超過700萬美元。本次攻擊的發生,問題依然在智能合約本身的代碼漏洞之中,由於KICK在智能合約中為owner權限設立了較多特權函數,從而使得攻擊者一旦獲得合約控制權之後,即可以對用戶地址上的代幣進行一系列的轉移操作。在本次攻擊中,攻擊者創建了40個虛假地址,再將被盜的代幣轉移到新地址之中,共有7000萬KICK的Token被轉走,當時價值770萬美元。
KICK項目方聲稱,已經重新獲得合約的控制權,他們承諾將把相應的代幣返還給其合法的擁有者。
從過去一週的安全事件來看,FOMO 3D火爆下的安全問題非常突出,由於其代碼開源,在抄襲山寨模式下,相應代碼漏洞被迅速在更多項目複製的問題相信將在後續更多成功項目中出現。而本週一再出現的在智能合約中,給予特殊角色以過高權限的問題,不但讓類似合約存在“道德風險”,更可能成為黑客攻擊者利用的隱患,同時,這也再度給區塊鏈生態參與者以思考:存在權限特權的區塊鏈項目真的是我們曾經寄望的“去中心化”嗎?
閱讀更多 第一海外金融 的文章
