阿里云優(yōu)惠券 先領券再下單

目前區(qū)塊鏈市場越做越大，很多服務都在使用區(qū)塊鏈技術，跟上區(qū)塊鏈的大潮，在高速發(fā)展的同時，區(qū)塊鏈的安全問題也日益嚴重，2018年上半年ATN區(qū)塊鏈平臺被爆出高危的區(qū)塊鏈漏洞，我們來看下這個ATN到底是如何產生漏洞，分析及如何修復漏洞的。

ATN區(qū)塊鏈平臺是全世界第一個區(qū)塊鏈技術融入人工智能的一個平臺，去中心化，沒有任何授權，客戶可以自己使用智能接口來進行與區(qū)塊鏈相連接的一個虛擬幣平臺。該平臺使用的是公有鏈安全機制，使用的是oracle數據庫，可以跨域，跨區(qū)的區(qū)塊鏈平臺，使用石墨烯的最新技術來實現用戶高并發(fā)的請求，也算是人工智能領域最強大的區(qū)塊鏈服務商，可以為很多的安卓，IOS，APP用戶提供區(qū)塊鏈服務。

關于這次漏洞的產生，是被區(qū)塊鏈安全中心檢測發(fā)現，攻擊者利用ERC的合約進行偽造惡意代碼函數，對服務器進行攻擊，因合約開放自定義的代碼，導致攻擊者繞過WAF防火墻，直接插入攻擊代碼從而繞過權限，導致漏洞的發(fā)生。

區(qū)塊鏈漏洞的詳情

ATN區(qū)塊鏈使用的合約是基于erc20以及加密值token算法的基礎進行開發(fā)的合約，在開發(fā)的過程當中ATN使用了自己開發(fā)人員的anth庫，為了轉幣的安全考慮，才使用這套合約，每次虛擬幣轉賬的時候都會首先確認授權權限，然后才能進行轉賬功能，當轉幣為人工智能合約，那么就會使用隨機的token值進行判斷，并寫入到oracle數據庫中，當token唯一時，轉幣才能成功。我們來看下合約的代碼到底是如何寫的：

從上述代碼可以看出，轉幣使用的合約做了詳細的安全過濾，防止非法的參數寫進來，但是在遠程調用對方身份信息的過程當中，并沒有進行安全攔截，導致在轉幣的過程中可以插入惡意代碼，使用custom_call函數來進行攻擊，攻擊者遠程偽造調用了自己的ATN轉幣地址，使其他人轉幣的時候直接轉幣到攻擊者的賬戶中去。

目前ATN區(qū)塊鏈平臺已經修復此漏洞，該漏洞導致的轉幣損失已與開發(fā)者進行協(xié)商處理，損失降到了最低，也由此看出目前的區(qū)塊鏈平臺多多少少都存在著漏洞，只要是高危漏洞都會對幣價有所影響，目前比特幣，以太坊，市場剛剛回暖，是否是牛市要看未來整個區(qū)塊鏈市場的發(fā)展，以及有多少服務在使用區(qū)塊鏈技術。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！