作者:MetaTrustLabs
Web3安全服务提供商MetaTrustLabs最近完成的一项研究发现了以太坊智能合约中自定义函数修饰符存在的重大安全风险。在题为“Beyond'Protected'and'Private':AnEmpiricalSecurityAnalysisofCustomFunctionModifiersinSmartContracts”的ISSTA'23论文中,研究团队检查了超过62,000个智能合约,发现有411个包含可以绕过修饰符的易受攻击合约。为了解决这些问题,MetaTrust已将新开发的工具SoMo集成到其知名的智能合约安全扫描服务MetaScan中。
The Sandbox、Decentraland、CryptoVoxels 和 Somnium Space四个元宇宙虚拟土地单周销售总额超过1亿美元:金色财经报道,四个基于区块链的元宇宙虚拟土地上周销售总额超过1亿美元,据 DappRadar 数据显示,在 11 月 22 日至 11 月 28 日期间,The Sandbox、Decentraland、CryptoVoxels 和 Somnium Space 上虚拟土地交易总量达到6,000 多笔,交易总额达到 1.058 亿美元。The Sandbox 和 Decentraland 等虚拟世界火热浪潮始于 Facebook 将品牌更名为 Meta,之后元宇宙概念开始兴起,而虚拟土地则是元宇宙世界里的关键用例。[2021/12/2 12:46:56]
这项研究的主要目的是识别不安全的修饰符,即“可绕过修饰符”,这些修饰符可以在一个或多个未受保护的智能合约函数中绕过。例如,以下“onlyOwner”修饰符可以通过调用公共函数Mining24()来绕过。因此,攻击者可以利用受onlyOwner修饰符保护的敏感函数。
DeFi项目Sommelier在A轮融资中筹集2300万美元:金色财经报道,帮助实现DeFi交易自动化的加密项目Sommelier Finance在A轮融资中筹集了2300万美元。该轮融资由Polychain Capital领投,现有投资者Alameda Ventures和新投资者Zola Ventures、Byzantine Ventures、Tendermint Ventures、Secure Ventures、D1 Ventures和Ferngrove Ventures参投。Sommelier由Cosmos协议和Tendermint的前首席开发人员Zaki Manian于2020年创立。该区块链协议可帮助自动化流动性提供商(LP)的资本分配,以最大限度地提高收益。有了新的资金,Sommelier计划升级其协议并推出“Cellars”,以帮助管理跨DeFi协议的流动性。[2021/10/21 20:44:43]
为了识别这些漏洞,研究人员开发了一种新的工具SoMo,它构建修饰符依赖图以涵盖所有与修饰符相关的控制/数据流,在MDG上生成符号路径约束,并迭代测试每个候选入口函数。结果表明,SoMo在分析大型数据集中的62464个合约时的精度达91.2%。
Uniswap V3流动性管理协议 Sommelier 完成2300万美元融资 Polychain Capital 领投:10月20日消息,使用 Cosmos 验证器的 Uniswap V3 流动性管理协议 Sommelier 完成 2300 万美元融资,Polychain Capital 领投,Byzantine Ventures、Tendermint Ventures、Secure Ventures、D1 Ventures、Ferngrove Ventures 和 Alameda Research 参投。Sommelier 联合创始人 Zaki Manian 表示,本轮融资将用于继续开发产品 Cellars,该产品产品使用基于 Cosmos 的验证器网络来管理头寸。此外,Zaki Manian 还表示,Sommelier 内部目前正在讨论代币发行的事宜,不久后或将启动流动性挖矿。(CoinDesk)[2021/10/20 20:44:22]
这项研究还揭示了修饰符在现实场景中的主要用途,包括访问控制、与金融相关的、合约状态和杂项检查,如下表所示。这些发现表明,开发人员常常利用修饰符进行安全敏感操作,但它们可能未得到很好的保护。
总体而言,要确保区块链技术安全可靠,还有许多工作要做。通过使用更好的编程技术和测试工具,我们可以帮助防止对智能合约的攻击,并保护我们的数字交易安全。随着更多企业和组织采用区块链技术进行各种应用,确保智能合约安全可靠至关重要。这项研究是实现这一目标的重要一步。
尽管区块链技术有望彻底改变许多行业,但安全性应该始终是最优先考虑的因素。通过使用像MetaScan这样的工具和遵循安全编程的最佳实践,我们可以帮助确保区块链上我们的数字交易安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。