随着越来越的人参与到区块链这个行业中来,为行业注入新活力的同时也由于相关知识的薄弱以及安全意识的匮乏,给了攻击者更多的可乘之机。面对频频爆发的安全事件,慢雾特推出区块链安全入门笔记系列,向大家介绍区块链安全相关名词,让新手们更快适应区块链危机四伏的安全攻防世界!越权访问攻击ExceedAuthorityAccessAttack
和传统安全的定义一样,越权指的是访问或执行超出当前账户权限的操作,如本来有些操作只能是合约管理员执行的,但是由于限制做得不严谨,导致关键操作也能被合约管理员以外的人执行,导致不可预测的风险,这种攻击在以太坊和EOS上都曾出现过多次。以EOS上著名的BetDice游戏为例,由于在游戏合约内的路由(EOS内可自定义的事件转发器)中没有对来源账号进行严格的校验,导致普通用户能通过pushaction的方式访问到合约中的关键操作transfer函数,直接绕过转账流程进行下注,从而发生了越权攻击,事后虽然BetDice官方紧急修复了代码,并严格限制了来源账号,但这个漏洞已经让攻击者几乎无成本薅走BetDice奖池内将近5万EOS。又如在以太坊使用solidity版本为0.4.x进行合约开发的时候,很多合约开发者在对关键函数编写的时候不仅没有加上权限校验,也没有指定函数可见性,在这种情况下,函数的默认可见性为public,恶意用户可以通过这些没有进行限制的关键函数对合约进行攻击。慢雾安全团队建议智能合约开发者们在进行合约开发的时候要注意对关键函数进行权限校验,防止关键函数被非法调用造成合约被攻击。交易顺序依赖攻击Transaction-OrderingAttack
研究:以太坊正在恢复其对稳定币的主导地位:金色财经报道,以太坊的价格回升使其恢复了对稳定币的主导地位,其市值目前略高于 2430 亿美元。投资者去杠杆化头寸的最简单方法之一是转向稳定币。与算法对应物不同,中心化稳定币即使在最剧烈的市场条件下也能抵抗波动并保持挂钩。根据 Glassnode 的数据,以太坊的 TVL 可能在 6 月份触底。TVL 在短时间内仍与 720 亿美元挂钩,在 6 月中旬略有回升,并在进入 8 月时继续攀升。(cryptoslate)[2022/8/14 12:23:47]
在区块链的世界当中,一笔交易内可能含有多个不同的交易,而这些交易执行的顺序会影响最终的交易的执行结果,由于在挖矿机制的区块链中,交易未被打包前都处于一种待打包的pending状态,如果能事先知道交易里面执行了哪些其他交易,恶意用户就能通过增加矿工费的形式,发起一笔交易,让交易中的其中一笔交易先行打包,扰乱交易顺序,造成非预期内的执行结果,达成攻击。以以太坊为例,假如存在一个Token交易平台,这个平台上的手续费是通过调控合约中的参数实现的,假如某天平台项目方通过一笔交易请求调高交易手续费用,这笔交易被打包后的所有买卖Token的交易手续费都要提升,正确的逻辑应该是从这笔交易开始往后所有的Token买卖交易的手续费都要提升,但是由于交易从发出到被打包存在一定的延时,请求修改交易手续费的交易不是立即生效的,那么这时恶意用户就可以以更高的手续费让自己的交易先行打包,避免支付更高的手续费。慢雾安全团队建议智能合约开发者在进行合约开发的时候要注意交易顺序对交易结果产生的影响,避免合约因交易顺序的不同遭受攻击。女巫攻击SybilAttack
研究:半数游戏开发者已经在探索区块链和NFT:11月10日消息,来自英国的一项新研究表明,大多数游戏工作室已经开始为他们即将推出的游戏探索区块链。受区块链平台Stratis委托,Opinion开展的这项新研究调查了197名美国和英国的电子游戏开发者。结果显示,58%的开发人员开始使用区块链技术,几乎一半的受访者(47%)开始探索NFT。该研究表明,开发者对区块链和NFT很有信心,因为三分之二的工作室预计区块链在未来两年内将在游戏行业盛行。虽然72%的受访者考虑在即将到来的游戏中使用区块链和NFT,但超过半数(56%)的受访者计划在12个月内应用新技术。
Stratis首席执行官Chris Trew在接受采访时表示,区块链、代币和NFT是新数字世界和游戏体验的关键技术。他说:“它们使玩家能够在自己所玩的游戏中拥有一部分资产,例如,在元宇宙游戏中购买土地,或在赛车游戏中购买汽车。”(Cointelegraph)[2021/11/10 21:41:08]
传闻中女巫是一个会魔法的人,一个人可以幻化出多个自己,令受害人以为有多人,但其实只有一个人。在区块链世界中,女巫攻击(SybilAttack)是针对服务器节点的攻击。攻击发生时候,通过某种方式,某个恶意节点可以伪装成多个节点,对被攻击节点发出链接请求,达到节点的最大链接请求,导致节点没办法接受其他节点的请求,造成节点拒绝服务攻击。以EOS为例,慢雾安全团队曾披露过的EOSP2P节点拒绝服务攻击实际上就是女巫攻击的一种,攻击者可以非常小的攻击成本来达到瘫痪主节点的目的。详情可参考:https://github.com/慢雾安全团队建议在搭建全节点的情况下,服务器需要在系统层面上对网络连接情况进行监控,一旦发现某个IP连接异常就调用脚本配置iptables规则屏蔽异常的IP,同时链开发者在进行公链开发时应该在P2P模块中对单IP节点连接数量添加控制。假错误通知攻击FakeOnerrorNotificationAttack
研究:2027年加密货币市场规模将达到17.58亿美元:8月5日消息,根据《财富商业洞察》(Fortune Business Insights) 的一项新研究估计,2021年加密货币市场规模为7.54亿美元,到2027年规模将达到17.58亿美元,复合年增长率为11.2%。其中,北美市场在2021年保持在2.509亿美元,预计在未来几年将成倍增长。(Globenewswire)[2021/8/5 1:37:02]
EOS上存在各种各样的通知,只要在action中添加require_recipient命令,就能对指定的帐号通知该action,在EOS上某些智能合约中,为了用户体验或其他原因,一般会对onerror通知进行某些处理。如果这个时候没有对onerror通知的来源合约是否是eosio进行检验的话,就能使用和假转账通知同样的手法对合约进行攻击,触发合约中对onerror的处理,从而导致被攻击合约资产遭受损失。慢雾安全团队建议智能合约开发者在进行智能合约开发的时候需要对onerror的来源合约进行校验,确保合约帐号为eosio帐号,防止假错误通知攻击。
动态 | 研究:虽然蓝筹指数MVDA10过去三年表现优异,比特币仍是加密货币之王:据CCN消息,VanEck数字资产策略师Gabor Gurbacs Gurbacs披露其公司关于不同时期数字资产表现的研究。 VanEck通过其MV指数解决方案(MVIS)拓展到加密货币领域。蓝筹加密货币指数MVDA10在过去3年的表现优于比特币指数MVBTC,也领先于小型加密代币指数MVDASC。 三年时间里,MVDA10上涨2837%,MVBTC和MVDASC分别增长1928.2%和1243.8%。尽管蓝筹加密货币指数遥遥领先,但仔细观察会发现,MVIS中的BTC权重为33.15%,ETH占26.32%,XRP略低于15%,其他大型数字资产的权重不到30%。过去一年里MVBTC上涨71.5%,MVDA10下跌6.5%,MVDASC下跌64.6%。 虽然蓝筹指数在三年时间里超过比特币指数,但比特币在蓝筹指数一篮子资产中的权重最高这一事实表明,加密货币之王(比特币)正在承担很多重担。如果不是因为比特币在过去12个月的出色表现,蓝筹指数应该会像小型加密货币指数一样大幅下跌。事实证明,除非你是一名专业交易员,否则简单地将资金投入比特币可能是实现加密投资最大化的最佳方式。[2019/7/5]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。