區塊鏈安全入門筆記（七）_區塊鏈

隨著越來越的人參與到區塊鏈這個行業中來，為行業注入新活力的同時也由于相關知識的薄弱以及安全意識的匱乏，給了攻擊者更多的可乘之機。面對頻頻爆發的安全事件，慢霧特推出區塊鏈安全入門筆記系列，向大家介紹區塊鏈安全相關名詞，讓新手們更快適應區塊鏈危機四伏的安全攻防世界！系列回顧：區塊鏈安全入門筆記(二)|慢霧科普區塊鏈安全入門筆記(三)|慢霧科普區塊鏈安全入門筆記(四)|慢霧科普區塊鏈安全入門筆記(五)|慢霧科普區塊鏈安全入門筆記(六)|慢霧科普hard_fail狀態攻擊hard_failAttack

hard_fail是什么呢？簡單來說就是出現錯誤但是沒有使用錯誤處理器(errorhandler)處理錯誤，比方說使用onerror捕獲處理，如果說沒有onerror捕獲，就會hard_fail。EOS上的交易狀態記錄分為executed,soft_fail,hard_fail,delayed和expired這5種狀態，通常在鏈上大部分人觀察到的交易，都是executed的，或者delayed的，而沒有失敗的交易，這就導致大部分開發者誤以為EOS鏈上沒有失敗的交易記錄，從而忽略了對交易狀態的檢查。攻擊者利用這個細節，針對鏈上游戲或交易所進行攻擊，構造執行狀態為hard_fail的交易，欺騙鏈上游戲或交易所進行假充值攻擊，從而獲利。該攻擊手法最早由慢霧安全團隊于2019年3月10日一款EOSDApp上捕獲，帳號名為fortherest12的攻擊者通過hard_fail狀態攻擊手法攻擊了EOS游戲Vegastown。隨后，相同攻擊手法頻頻發生，慢霧安全團隊在此提醒交易所和EOSDApp游戲開發者在處理轉賬交易的時候需要嚴格校驗交易狀態，確保交易執行狀態為executed。詳細細節可參考：EOS假充值(hard_fail狀態攻擊)紅色預警細節披露與修復方案重放攻擊ReplayAttack重放攻擊(ReplayAttack)，是針對區塊鏈上的交易信息進行重放，一般來說，區塊鏈為了保證不可篡改和防止雙花攻擊的發生，會對交易進行各種驗證，包括交易的時間戳，nonce，交易id等，但是隨著各種去中心化交易所的興起，在智能合約中驗證用戶交易的場景越來越多。這種場景一般是需要用戶對某一條消息進行簽名后上傳給智能合約，然后在合約內部進行驗簽。但由于用戶的簽名信息是會上鏈的，也就是說每個人都能拿到用戶的簽名信息，當在合約中校驗用戶簽名的時候，如果被簽名的消息不存在隨著交易次數變化的變量，如時間戳，nonce等，攻擊者就可以拿著用戶的簽名，偽造用戶發起交易，從而獲利。這是一種最早出現于DApp生態初期的攻擊形態，由于開發者設計的開獎隨機算法存在嚴重缺陷，使得攻擊者可利用合約漏洞重復開獎，屬于開發者較為容易忽略的錯誤。因此，開發者們在鏈上進行驗簽操作的時候，需要對被簽名消息加上各種可變因子，防止攻擊者對鏈上簽名進行重放，造成資產損失。更多詳情可參考：以太坊智能合約重放攻擊細節剖析重入攻擊ReentrancyAttack

歐洲投資銀行準備將區塊鏈技術用于數字債券發行:歐洲投資銀行（European Investment Bank）計劃利用區塊鏈技術出售債券，這可能會推動利用數字分類賬技術作為該地區債券市場的工具。據一位知情人士透露，歐洲投資銀行聘請了高盛、西班牙國家銀行（Banco Santander SA）和法國興業銀行（Societe Generale AG）研究一種所謂的歐元數字債券，該債券將使用區塊鏈進行登記和結算。這位知情人士說，首次出售的投資者會議將于4月15日開始，持續數周。（彭博社）[2021/4/13 20:13:53]

重入攻擊(ReentrancyAttack)首次出現于以太坊，對應的真實攻擊為TheDAO攻擊，此次攻擊還導致了原來的以太坊分叉成以太經典(ETC)和現在的以太坊(ETH)。由于項目方采用的轉賬模型為先給用戶發送轉賬然后才對用戶的余額狀態進行修改，導致惡意用戶可以構造惡意合約，在接受轉賬的同時再次調用項目方的轉賬函數。利用這樣的方法，導致用戶的余額狀態一直沒有被改變，卻能一直提取項目方資金，最終導致項目方資金被耗光。慢霧安全團隊在此提醒智能合約開發者在進行智能合約開發時，在處理轉賬等關鍵操作的時候，如果智能合約中存儲了用戶的資金狀態，要先對資金狀態進行修改，然后再進行實際的資金轉賬，避免重入攻擊。假充值攻擊FalseTop-up

國家外匯管理局張鐵成：跨境區塊鏈平臺助力中小企業貿易融資:近日，國家外匯管理局科技司司長兼外匯業務數據監測中心主任張鐵成發文談外匯局跨境金融區塊鏈服務平臺。談到跨境區塊鏈平臺應用效果，他稱，1.有助于緩解中小企業跨境融資難問題。從效果看，跨境區塊鏈平臺減少了企業打印紙質材料、手工報送的繁重工作，簡化了銀行手工核對、現場核查的復雜流程，大大縮短了融資申請周期，有效降低了企業財務成本；端對端的信息核驗機制，提升了企業融資成功率。2.有效降低銀行融資業務風險。一方面，跨境區塊鏈平臺所提供的質押物信息真實可信，另一方面，銀行間融資信息實時互動與有效核驗，有助于及時遏制重復融資風險。3.顯著提升銀行融資業務辦理效率。跨境區塊鏈平臺提供的貿易融資批量核驗，效率高、可信度強。4.堅持寓監管于服務的管理理念，進一步夯實了事中事后監管手段。（金融電子化）[2020/3/2]

假充值攻擊(FalseTop-up)，分為針對智能合約的假充值攻擊和對交易所的假充值攻擊。在假充值攻擊中，無論是智能合約還是交易所本身，都沒有收到真實的Token，但是用戶又確實得到了真實的充值記錄，在這種情況下，用戶就可以在沒有真正充值的情況下從智能合約或交易所中用假資產或不存在的資產竊取真實資產。1.智能合約假充值攻擊

聲音 | 嘉峪關市委常委：著力推動區塊鏈和實體經濟深度融合:2019年12月26日，嘉峪關市舉行區塊鏈技術和應用專題輔導講座。市委常委、常務副市長王毅表示，全市各相關部門要深刻認識推動區塊鏈技術發展和應用的重大意義，進一步加深對區塊鏈相關知識的學習研究，著力推動區塊鏈和實體經濟深度融合，切實解決中小企業貸款融資難、銀行風控難、部門監管難等問題。要利用區塊鏈技術探索數字經濟模式創新，為打造便捷高效、公平競爭、穩定透明的營商環境提供動力。要探索“區塊鏈+”在教育、就業、養老、醫療健康、食品安全、社會救助等民生領域的運用，推動區塊鏈底層技術服務和新型智慧城市建設相結合，提升城市管理的智能化、精準化水平。要探索利用區塊鏈數據共享模式，促進業務協同辦理，深化“最多跑一次”改革，為人民群眾帶來更好的政務服務體驗。[2020/1/1]

針對智能合約的假充值主要是假幣的假充值，這種攻擊手法多發于EOS和波場上，由于EOS上代幣都是采用合約的方式進行發行的，EOS鏈的系統代幣同樣也是使用這種方式發行，同時，任何人也可以發行名為EOS的代幣。只是發行的合約帳號不一樣，系統代幣的發行合約為"eosio.token"，而其他人發行的代幣來源于其他合約帳號。當合約內沒有校驗EOS代幣的來源合約的時候，攻擊者就能通過充值攻擊者自己發布的EOS代幣，對合約進行假充值攻擊。而波場上的假充值攻擊主要是TRC10代幣的假充值攻擊，由于每一個TRC10都有一個特定的tokenid進行識別，當合約內沒有對tokenid進行校驗的時候，任何人都可以以1024個TRX發行一個TRC10代幣對合約進行假充值。2.交易所假充值攻擊

動態 | 未來將依托區塊鏈等技術優化企業的運作效率:據投資者網消息，中金支付表示，通過一些列長期的金融科技布局發展，備付金利息收入在其收入結構占比已經很小，備付金的集中交存對公司的影響并不大，未來將依托大數據、云技術、區塊鏈等為代表的科技創新技術，持續對中小企業進行金融科技賦能，優化企業的運作效率，從而提供安全高效的金融科技服務。[2019/1/28]

針對交易所的假充值攻擊分為假幣攻擊和交易狀態失敗的假充值攻擊。以EOS和以太坊為例。針對EOS可以使用名為EOS的假幣的方式對交易所進行假充值攻擊，如果交易所沒有嚴格校驗EOS的來源合約為"eosio.token"，攻擊就會發生。同時，區別于EOS，由于以太坊上會保留交易失敗的記錄，針對ERC20Token，如果交易所沒有校驗交易的狀態，就能通過失敗的交易對交易所進行ERC20假充值。除此之外，hard_fail狀態攻擊也是屬于假充值攻擊的一種。慢霧安全團隊在此建議交易所和智能合約開發者在處理轉賬的時候要充分校驗交易的狀態，如果是EOS或波場上的交易，在處理充值時還要同時校驗來源合約是否是"eosio.token"或tokenid是否為指定的tokenid。更多幾大幣種假充值問題可參考：1、USDT假充值：USDT虛假轉賬安全?險分析|2345新科技研究院區塊鏈實驗室2、以太坊代幣假充值：以太坊代幣“假充值”漏洞細節披露及修復方案3、XRP假充值：PartialPayments-XRPLedgerDevPortal4、EOS假充值：EOS假充值(hard_fail狀態攻擊)紅色預警細節披露與修復方案

徐小平公開聊區塊鏈：能使社會進步的，都會被認可和支持:3月16日，真格基金創始人徐小平在參加2018投資界百人論壇時聊起區塊鏈，他表示區塊鏈與互聯網和人工只能都是新興技術，無法確定到底能帶來什么，但凡是能夠促使社會進步的，都會被認可和支持。最后他還叮囑這段問答不許外傳，否則要罰比特幣。[2018/3/16]

Tags：區塊鏈EOSFAIHARD區塊鏈個人怎么買EOS幣最新消息Fair.GameAlmace Shards

幣贏