SMT发现与BEC类似安全漏洞|ASCH如何保障DAPP开发安全性?

Aschapple1232018-04-25 19:06:54  阅读 -评论 0  阅读原文

今日凌晨,世界主流交易网站火币网和OKEx关于暂停SMT 的一则通知,引发币圈哗然。随即,今日众多数字货币应声下跌。


原因是SMT的以太坊智能合约存在严重漏洞,出现这个漏洞是因为程序没有做好参数限制而引发的溢出问题。

无独有偶,前几日,黑客利用以太坊 ERC-20 智能合约中 BatchOverFlow 漏洞中数据溢出的漏洞攻击美链 BEC 的智能合约,向两个地址转出数量众多 BEC 代币,导致市场上海量BEC被抛售,给 BEC 市场交易带来了毁灭性打击。

区块链安全公司 PeckShield 称,除了 BEC Token 之外,目前已经发现超过 12 个项目 Token 的智能合约中存在 BatchOverFlow 整数溢出漏洞,黑客可以利用这一漏洞转账生成「不存在」的虚拟货币并进行交易获利。

自媒体纷纷调侃,这次蔡文胜的BEC需要杀一个程序员祭天。同时,我们不仅也要反思,为什么基于以太坊开发DAPP容易出现安全问题?

微博副总裁(微博名:TimYang)认为,以太坊只是一个记录 dapp 执行结果的区块链,其本身并没有加密货币复式记账所需的 utxo 模型,以太坊自身的以太币是由 balance 来表示账号余额。用余额的区块链有一个明显的缺陷,很容易遭受重放攻击(交易的请求再发送一次)。以太坊用了 nonce 等 tricky 的做法避免主链货币重放,但对于基于 dapp 的代币,就需要依赖开发者自己来保障其安全逻辑。

采用复试记账的 utxo 则所有的转账需要检查输入来源,如果这个来源已经被使用过一次,则表示这次转账是一个双花尝试,而比特币最主要的架构设计逻辑比如 PoW 以及长链胜出就是用于防止双花攻击。

以太坊智能合约运行的大致流程是,取得写区块的节点运行 dapp 并记录运行结果到新的区块,当这个结果被其他节点验证之后这个新区块就被整个网络认可,验证的方法也是执行一遍这个合约脚本,智能合约的设计约束是 deterministic, 但并无其他机制可保证这个执行的安全性及正确性。即使有 bug,只要 bug 能被其他节点运行出相同结果,记录就会上链,erc20 或 erc721 是一个智能合约接口的约定,方便通用的钱包可以访问这些合约。

在数字货币的时代,重要的 token 资产本身是需要货币级别的安全程度。以太坊目前的设计更适合游戏积分之类的合约运行结果。重要的 token 资产不适合构建在 erc 20 基础之上。它没有任何货币安全设计的考虑。

众所周知,阿希链是基于侧链架构的去中心化应用开发平台,安全性是最为重要的特征之一。阿希链是否存在整数溢出漏洞问题呢?

阿希资深研发人员表示,在处理大整数,阿希链上所有资产的发行、转账在涉及到金额时都使用了bigint模块。bigint直接避免了整数溢出的问题,无论处理多大或多小的数字,都不会出现溢出的问题。所以在阿希上发行资产是不会遇到类似BEC上面的问题,相应的也不会有类似的漏洞。

来看一下阿希的交易信息:

Transaction {

required VARCHAR(20) id;

required VARCHAR(20) blockId;

required TINYINT type;

required INT timstamp;

required VARCHAR(21) senderId;

optional VARCHAR(21) recpientId;

required BIGINT amount;

required BIGINT fee;

required BINARY(64) signature;

optional BINARY(64) signSignature;

optional TEXT signatures;

required BINARY(32) senderPublicKey;

}

无论是账户余额还是手续费都采用了bigint类型,这种类型的数据不会产生溢出。因此,在阿希链上进行转账时不会遇到类似问题。

目前,基于阿希链开发的所有DAPP以及阿希链上所有资产均运行良好,未出现任何安全问题。


声明:链世界登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。此文如侵犯到您的合法权益,请联系我们100@7234.cn

    参与讨论 (0 人参与讨论)

    相关推荐

    比特币有什么缺点?

    1.交易平台的脆弱性。比特币网络很健壮,但比特币交易平台很脆弱。交易平台通常是一个网站,而网站会遭到黑客攻击,或者遭到主管部门的关闭。2.交易确认时间长。比特币钱包初次安装时,会消耗大量时间下载历史交易数据块。而比特币交易时,为了确认数据准确性,会消耗一些时间,与p2p网络进行交互,得到全网确认后,交易才算完成。3.价格波动极大。由于大量炒家介入,导致比特币兑换现金的价格如过山车一般起伏。使得比

    业务中使用区块链的四种方式

    业务中使用区块链的四种方式

    暴走时评:区块链是一种支持像比特币这样的数字货币的公共分类帐本,并且正改变着我们的业务方式。一旦那些对匿名交易,甚至是秘密交易感兴趣的人接纳了这样一种鲜为人知的工具,加密货币就会日趋成为主流。 区块链是一种支持像比特币这样的数字货币的公共分类帐本,并且正改变着我们的业务方式。一旦那些对匿名交易,甚至是秘密交易感兴趣的人接纳了这样一种鲜为人知的工具,加密货币就会日趋成为主流。越来越多的个人和企

    区块链:法定数字货币技术路线的必然选择

    区块链:法定数字货币技术路线的必然选择

    在人类发展史上,货币的进化从未停止。从物物交换,到金属铸币,再到纸质货币,以及当前正在发展的数字货币正在向着越来越便捷的方向进化。 比特币的出世起初并未带来轰动,但是最近几年其价格惊人的爬高创造出了一个个造富神话,引起各国政府及监管机构的关注。虽然金融专家普遍认为它只是一种资产,而非货币,但是,其背后的区块链(Blockchain)技术引起了包括各大金融机构、政府、企业及学术界的浓厚兴趣,未

    用区块链记录证书,证明真伪,墨尔本大学迈出了第一步

    用区块链记录证书,证明真伪,墨尔本大学迈出了第一步

    墨尔本大学宣布发起区块链认证和审核计划,允许通过一种隐私、安全且持久的方式验证学生的证书。 墨尔本大学正在试验一个区块链记录维护项目,允许接收者(即学生)存储他们的证书,出于核验目的,第三方也能访问这个系统。Learning Machine是这个发布系统的开发者,他们采用的是麻省理工媒体实验室(MIT Media Lab)在2016年提交的Blockcerts开源代码。 墨尔本大学副校长格雷

    日本IT巨头富士通联合日本“三大行”开发区块链p2p资金转移系统

    日本IT巨头富士通(Fujitsu)与三家大型银行已经宣布计划试点一项基于区块链创建的点对点资金转移系统。 通过与日本三大行——瑞穗金融集团,三井住友金融集团和三菱UFJ金融集团——的合作,富士通将现场试验一种基于云的区块链平台,用于在个体之间发送资金,并开发一款智能手机APP来提高这个系统的可用性。 从理论上讲,这个平台将把三大行的客户法定货币账户与这个区块链系统相连接。客户然后将能够使用这

    动画科普:什么是比特币?

    动画科普:什么是比特币?

    比特币(Bitcoin,简写BTC)概念由中本聪(化名)提出,是一种点对点、去中心化的数字资产;2009年,中本聪打包了第一个区块,并获得50枚比特币的挖矿奖励,挖矿奖励每4年减半一次,按此计算,比特币预计2140年发行完毕,总量为2100万枚。 随着比特币的发展,比特币逐渐受到认可:德国为全球首个接受比特币支付的国家;微软、戴尔等知名企业也纷纷接受比特币支付。 举个栗子,你能直接用比特币买到

    3分钟理解什么是公有链、私有链、联盟链、许可链

    不同的区块链有着不同的内涵和功能,在区块链领域经常出现的公有链、私有链、联盟链、许可链,这些又都代表什么意思呢? 公有链 公有链是指全世界任何人都可以随时进入系统中读取数据、发送可确认交易、竞争记账的区块链。公有链通常被认为是完全去中心化的,因为没有任何人或机构可以控制或篡改其中数据的读写。公有链一般会通过代币机制鼓励参与者竞争记账,来确保数据的安全性。比特币、以太坊都是典型的公有链。 私

    区块链是比特币的底层技术,但似乎两者已走上不同的道路

    区块链是比特币的底层技术,但似乎两者已走上不同的道路

    比特币的出现带来了一项新的技术——区块链,不过区块链和比特币似乎已走上了两条不一样道路,作为技术的区块链被越来越多的人所看好,而性质偏向于投资的比特币似乎被更多人看衰。 成也萧何败也萧何 比特币火爆的原因是其拥有去中心化、全世界流通、专属所有权、低交易费用、无隐藏成本、跨平台挖掘的特性,这些特性促使比特币成为了很多人关注的焦点。之后众多庄家的入局让比特币一瞬间成为了热门投资产业,但这几大特

    麦妖榜
    更新日期 2019-06-20
    排名用户贡献值
    1BitettFan24012
    2等待的宿命23809
    3六叶树20309
    4区块大康18727
    5牛市来了16918
    6天下无双16192
    7linjm122716145
    8lizhen00215125
    9让时间淡忘14486
    10冷风大q11188
    返回顶部 ↑