ERC20現宇宙級漏洞 涉及市面上60%代幣區塊鏈
當Code出問題時,也就是Law出了問題,轉賬欺詐可能帶來的這個風險則根本無法回滾,一經生效不可變更!這種有漏洞授權機制會帶來價值幾十億甚至幾百億美元的數字資產存在安全危機。
最近區塊鏈的世界,除了層出不窮的大佬撕逼以外,最為受人關注的就是安全問題了。當前數字貨幣市場上,超過90%智能合約使用ERC20標準,毫無疑問,ERC20標準已經成為了各種交易所、錢包以及項目方共同遵循的規范。ArmorsLabs 的智能合約掃描系統(IDS) 在分析了以太坊上超過10000份ERC20智能合約后發現,ERC20標準的approve方法存在巨大安全漏洞,會導致代幣出現被向量攻擊的風險。Armors團隊經過市場統計發現,目前已上交易所的數字貨幣中至少有超過60%的幣種,在智能合約中使用了存在該漏洞的代碼。
Armors團隊自2017年10月以來,一直致力于智能合約的生態建設及漏洞分析。下面我們給大家公布ArmorsLabs最近發現并命名的“jaeden”漏洞。該漏洞是迄今為止ERC20涉及面最廣的整體性漏洞。
下面我們來給大家分析下該漏洞:
ERC20提到的標準接口:
Approve和transferFrom在歷史上是為了 Decentralized Exchange 設計的。
用戶可以通過approve函數授權第三方帳戶為其管理指定額度的代幣。
以太坊官方ERC20 Demo中,approve函數的代碼存在向量攻擊漏洞。簡單描述下就是甲方授權乙方管理自己的數字貨幣,如果甲方想更改乙方的權限,乙方可以提前轉走被授權的貨幣,然后還可以再一次收取新授權的貨幣,從而致使甲方多次轉賬,造成數字財產的損失。
這種授權方式在去中心化交易所、第三方支付和量化基金管理上,被大范圍使用。
在數字貨幣世界里,在沒有現實等價物、線下交易契約和法律約束的情況下,智能合約就是法律——Code is Law!當Code 出問題時,也就是Law出了問題,轉賬欺詐可能帶來的這個風險則根本無法回滾,一經生效不可變更!這種有漏洞授權機制會帶來價值幾十億甚至幾百億美元的數字資產存在安全危機。
該漏洞作為以太坊標準導致的重大安全隱患,已經被Armors命名為“jaeden”,并且已經提交到cve平臺。除此漏洞外,Armors漏洞分析師還發現了該幣存在更多漏洞,比如:
該合約沒有對零地址轉賬進行攔截,引起的后果是:一旦有惡意莊家試圖進行控盤,將大量代幣打入零地址,即可造成該代幣經濟體系紊亂。
ArmorsLabs 從為每一位數字貨幣投資者負責的角度出發,建議各交易所及項目方引入更多更有經驗的審計合作伙伴,重新review自己的智能合約代碼。一旦發現問題,及早尋求解決方案,以免造成不可挽回的損失。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
