當(dāng)前位置:首頁 >  IDC >  安全 >  正文

Erc-20漏洞百出,Variant能抵抗量子計算機(jī)的攻擊

 2018-04-26 15:24  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

近日,壓抑了許久的數(shù)字貨幣終于走出寒冬,開始回暖,以EOS為首,帶動比特幣、以太幣等大漲。

截至北京時間25日17:15,EOS近七日漲幅漲幅高達(dá)66.31%,BCH近七日上漲61.82%,ETH、XRP漲幅均超過26%,BTC漲16.37%至9327.2美元。行情圖上一片春意盎然,萬里江山一片紅。

但幣友們還未來得及彈冠相慶,一則噩耗為剛剛回暖的幣市蒙上一層陰影:因SMT也被曝出現(xiàn)與BEC類似的漏洞,火幣、OKEx雙雙暫停了SMT交易。

BEC、STM接連曝光安全漏洞,一時間,ERC-20漏洞問題引發(fā)業(yè)內(nèi)廣泛討論。如果沒法從根本上解決漏洞,那么受害的不僅僅是投資者,虛擬貨幣生態(tài)中的所有參與者都將終日提心吊膽。

十幾款ERC-20智能合約存在整數(shù)溢出漏洞

22日,黑客利用以太坊ERC-20智能合約中BatchOverFlow漏洞中的數(shù)據(jù)溢出的漏洞,攻擊了BEC智能合約,通過合約的批量轉(zhuǎn)賬方式無限生成代幣,成功向兩個地址轉(zhuǎn)出了天量級別的BEC代幣,瞬間引發(fā)BEC拋售潮,BEC 64億價值幾乎歸零。

黑客先是試探性地往OKEx中轉(zhuǎn)入100萬的BEC Token,成功轉(zhuǎn)入賣出后,又分2次轉(zhuǎn)入了1000萬的BEC Token,發(fā)現(xiàn)兩次都成功,便轉(zhuǎn)入了1億枚BEC Token。

發(fā)現(xiàn)問題后,OKEx當(dāng)即停止了BEC的交易。BEC團(tuán)隊也公告表示將與OKEx交易所合作回滾到黑客轉(zhuǎn)入Token之前的數(shù)據(jù)以保護(hù)投資者的權(quán)益。

BEC風(fēng)波未平,另一款加密數(shù)字貨幣SMT也被爆出現(xiàn)類似漏洞。

4月25日上午,火幣Pro發(fā)布公告,虛擬幣SMT項目方反饋當(dāng)日凌晨發(fā)現(xiàn)其交易存在異常問題,經(jīng)初步排查,SMT的以太坊智能合約存在漏洞?;饚臥ro也同期檢測到TXID為0x0775e55c402281e8ff24cf37d6f2079bf2a768cf7254593287b5f8a0f621fb83的異常。受此影響,火幣Pro暫停所有幣種的充提幣業(yè)務(wù)。

與此同時,OKEx也已暫停了SMT交易。

早在BEC事件之后,區(qū)塊鏈安全公司Peck Shield的團(tuán)隊利用自動化系統(tǒng)掃遍了以太坊智能合約并對它們進(jìn)行分析。結(jié)果發(fā)現(xiàn),除BEC Token之外,有超過12個ERC-20智能合約都存在BatchOverFlow整數(shù)溢出漏洞,其中也包括已經(jīng)在交易所上進(jìn)行交易的幣種。黑客可以利用這一漏洞轉(zhuǎn)賬生成不存在的Token,并轉(zhuǎn)入交易所正常交易獲利,與真的Token無異。

Peck Shield團(tuán)隊23日凌晨發(fā)布安全報告,提到黑客利用in-the-wild手段抓取以太坊ERC-20智能合約中的BatchOverFlow這個整數(shù)溢出漏洞來進(jìn)行攻擊。    

而這一切都源于一個簡單至極的程序Bug。Peck Shield的安全預(yù)警報告中提到了該漏洞的具體細(xì)節(jié),這個漏洞出現(xiàn)在ERC20智能合約的batch Transfer函數(shù)當(dāng)中,代碼如下圖所示:

為了驗證該漏洞存在的真實性,Peck Shield團(tuán)隊對一個未在交易所上線的以太坊寵物游戲CryptoBots進(jìn)行了BatchOverFlow安全性攻擊,最終成功地在該協(xié)議上生成了CBTB代幣。

Peck Shield認(rèn)為,因為以太坊區(qū)塊鏈上所謂“代碼即一切”的原則精神的存在,導(dǎo)致目前沒有有效的安全防護(hù)手段來修復(fù)這些問題,而且因為Token交易背后牽扯著巨大的利益,是無法在多個交易所進(jìn)行同步防護(hù)的。因為中心化交易所只是對Token進(jìn)行記賬式的交易,項目團(tuán)隊與交易所配合之后回滾是可以一定程度上保護(hù)投資者利益的,但是如果在去中心化交易所進(jìn)行交易那么投資者的損失將無法挽回,同時,利用交易所反應(yīng)的時間差,黑客也可以實現(xiàn)在多個交易所套利。

在BEC事件中,在OKEx發(fā)現(xiàn)異常并停止OKEx交易前,按照轉(zhuǎn)入記錄,預(yù)計黑客已經(jīng)賣出了最少1100萬枚BEC,折合當(dāng)時的價格約1887萬人民幣。 

前有BEC被攻擊,后有STM出現(xiàn)類似漏洞,ERC-20整數(shù)溢出漏洞猶如一枚定時炸彈,我們的數(shù)字資產(chǎn)將如何安放?

Variant-LWE加密方案可抵御量?計算機(jī)攻擊

與EOS主網(wǎng)上線差不多同期,另一個公有鏈項目Variant也將實現(xiàn)智能合約、POS、和AI挖礦算法的主網(wǎng)上線。

Variant全稱為Variant Network,是全球首個基于UTXO模型的分片(sharding)算法的公有鏈項目,是融合IPFS和AI的新一代智能合約區(qū)塊鏈3.0平臺。

Variant主攻方向為IPFS、AI、原子跨鏈,側(cè)鏈、閃電網(wǎng)絡(luò)、DAG、分片、Variant-LWE(Learning With Errors)加密算法等,以提高平臺的TPS速度和處理能力,以及可擴(kuò)展性,實現(xiàn)鏈上鏈下的數(shù)據(jù)交互,團(tuán)隊也研發(fā)如何較好地隱私保護(hù)機(jī)制和更符合現(xiàn)實的通證經(jīng)濟(jì)模型。

針對安全問題,Variant聯(lián)合創(chuàng)始人ARRONWANG博士此前在接受媒體采訪時指出,Variant擁有密碼學(xué)方面的人才,也會研究新的密碼學(xué),推出新的密碼算法。

據(jù)悉,Variant的研究?員提出?種名為Variant-LWE的加密方案,來研究抵抗量?計算機(jī)的攻擊。Variant-LWE參考了后量?密碼(post-quantum cryptography)的協(xié)議基礎(chǔ),它被認(rèn)為是能夠抵抗量?計算機(jī)攻擊的密碼體制,其計算安全性據(jù)信可以抵御當(dāng)前已知任何形式的量?攻擊。

Variant擁有一支國際頂尖團(tuán)隊,聯(lián)合創(chuàng)始人ARRONWANG是清華大學(xué)經(jīng)濟(jì)學(xué)博士、德國慕尼黑工業(yè)大學(xué)博士;聯(lián)合創(chuàng)始人ANDREWEARLS畢業(yè)于德國慕尼黑工業(yè)大學(xué),精通C++,GO語言,主攻計算機(jī)科學(xué),具有十幾種數(shù)字貨幣設(shè)計經(jīng)驗和互聯(lián)網(wǎng)金融開發(fā)經(jīng)驗。Variant核心成員還包括原量子的核心開發(fā)工程師,以太坊社區(qū)智能合約深度開發(fā)者,原lisk核心開發(fā)工程師,原惠普GO語言研究員,早期操作系統(tǒng)核心開發(fā)者,Azure早期設(shè)計者,原百度CMD,原MOI Global商務(wù)總監(jiān);顧問包括斯坦福大學(xué)和上海交通大學(xué)的教授等。

除了在安全漏洞方面的優(yōu)勢,Variant的算法顯著提高了交易吞吐量,Proof of AI共識算法賦予了區(qū)塊鏈機(jī)器學(xué)習(xí)的能力,智能合約虛擬機(jī)融合IPFS解決了大數(shù)據(jù)存儲的痛點。Variant致力于讓算力為社會產(chǎn)生真正的價值,不斷突破區(qū)塊鏈的能力邊界讓去中心化應(yīng)用的落地成為可能。

據(jù)了解,Variant目前已對接多家交易所,即將實現(xiàn)智能合約、POS、和AI挖礦算法的主網(wǎng)上線,將在5月對全球用戶進(jìn)行糖果空投。

Variant平臺在發(fā)行前將經(jīng)過一系列嚴(yán)格測試,其中包括軟件功能性測試、P2P網(wǎng)絡(luò)性能測試、潛在攻擊向量測試、可靠性測試,安全審計和代碼審核,Alpha版本測試,Bata版本測試,通過完善的軟件測試流程,來控制軟件質(zhì)量。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

熱門排行

信息推薦