最近區塊鏈的世界,除了層出不窮的大佬撕逼以外,最為受人關注的就是安全問題了。當前數字貨幣市場上,超過90%智慧合約使用ERC20標準,毫無疑問,ERC20標準已經成為了各種交易所、錢包以及專案方共同遵循的規範。ArmorsLabs 的智慧合約掃描系統(IDS) 在分析了以太坊上超過10000份ERC20智慧合約後發現,ERC20標準的approve方法存在巨大安全漏洞,會導致代幣出現被向量攻擊的風險。Armors團隊經過市場統計發現,目前已上交易所的數字貨幣中至少有超過60%的幣種,在智慧合約中使用了存在該漏洞的程式碼。
Armors團隊自2017年10月以來,一直致力於智慧合約的生態建設及漏洞分析。下面我們給大家公佈ArmorsLabs最近發現並命名的“jaeden”漏洞。該漏洞是迄今為止ERC20涉及面最廣的整體性漏洞。
下面我們來給大家分析下該漏洞:
ERC20提到的標準介面:
Approve和transferFrom在歷史上是為了 Decentralized Exchange 設計的。
使用者可以透過approve函式授權第三方帳戶為其管理指定額度的代幣。
以太坊官方ERC20 Demo中,approve函式的程式碼存在向量攻擊漏洞。簡單描述下就是甲方授權乙方管理自己的數字貨幣,如果甲方想更改乙方的許可權,乙方可以提前轉走被授權的貨幣,然後還可以再一次收取新授權的貨幣,從而致使甲方多次轉賬,造成數字財產的損失。
這種授權方式在去中心化交易所、第三方支付和量化基金管理上,被大範圍使用。
在數字貨幣世界裡,在沒有現實等價物、線下交易契約和法律約束的情況下,智慧合約就是法律——Code is Law!當Code 出問題時,也就是Law出了問題,轉賬欺詐可能帶來的這個風險則根本無法回滾,一經生效不可變更!這種有漏洞授權機制會帶來價值幾十億甚至幾百億美元的數字資產存在安全危機。
該漏洞作為以太坊標準導致的重大安全隱患,已經被Armors命名為“jaeden”,並且已經提交到cve平臺。除此漏洞外,Armors漏洞分析師還發現了該幣存在更多漏洞,比如:
該合約沒有對零地址轉賬進行攔截,引起的後果是:一旦有惡意莊家試圖進行控盤,將大量代幣打入零地址,即可造成該代幣經濟體系紊亂。
ArmorsLabs 從為每一位數字貨幣投資者負責的角度出發,建議各交易所及專案方引入更多更有經驗的審計合作伙伴,重新review自己的智慧合約程式碼。一旦發現問題,及早尋求解決方案,以免造成不可挽回的損失。
關於ArmorsLabs:
ArmorsLabs作為全球頂級的區塊鏈安全實驗室,從智慧合約全生態平臺延展到整體區塊鏈安全。Armors提供一整套區塊鏈免疫系統,使用無監督機器學習和AI演算法為DApp構建多維模式。團隊成員來自蘋果、谷歌、360、百度、騰訊等世界級網際網路公司,畢業於伯克利、卡內基梅隆、清華等院校。目前,Armors已經與EON、SOC、XMX、DACC、CWV、HyperPay等多個專案進行了深度合作。未來,Armors將致力於構建一套通用型智慧合約安全規範,為構建區塊鏈安全生態而努力。
更多資訊歡迎訪問:http://www.armors.io
