以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

你玩的Dapp真的安全嗎?Trustlook反編譯平臺給程序員風險提示_以太坊

Author:

Time:1900/1/1 0:00:00

只要談到區塊鏈、以太坊就必定離不開“智能合約”這個詞,由于具備了最基本的圖靈完備性,開發者可以基于以太坊完成各種應用的開發。據Odaily星球日報2月25日發布的ETH周報顯示,目前ETH鏈上Dapp開發累計至1602個,“類”、“交易所”仍然是目前ETHDapp生態中日活以及交易額最高的兩大應用。智能合約為以太坊社區注入了生機,促成了生態的繁榮,但也帶來了各種各種各樣的安全問題。基于智能合約的各類Dapp真的靠譜嗎?類游戲真的就如其說明書所言的公平嗎?Odaily星球日報最近接觸的安全公司Trustlook在2019年1月發布了基于二進制智能合約反編譯開放平臺SmartContractInsight。據Trustlook創始人AllanZhang介紹,他們認為,讓區塊鏈變得更安全的唯一路徑是從工具的角度重建區塊鏈社區——打造一個可用的工具,讓區塊鏈代碼可讀,漏洞可被發現,從而做到真正的開源和共建。很多Dapp的合約都沒有開源,或是處于半開源狀態,對用戶來說,代碼是否安全需要考量。機器語言是用二進制代碼表示的一種計算機能直接識別和執行的一種機器指令,在智能合約中,業界稱為二進制的EVM代碼。也就是說,在目前的狀況下,社區里的開發者如果對某一份智能合約產生了興趣,想要去了解它的功能甚至查找漏洞,只能夠接觸到二進制代碼,對于大部分程序員而言,這是較大的障礙。

數據:LayerZero已跨鏈傳遞超5000萬條信息:7月26日消息,據官方數據顯示,跨鏈互操作性協議LayerZero已在不同鏈間傳遞超5000萬條信息。[2023/7/26 15:58:46]

未編譯的機器代碼長這樣“反編譯開放平臺”這個概念聽起來有點拗口,簡單來講就是將二進制的機器代碼或通過合約地址逆向成人類可讀的計算機高級語言,并根據結果作出風險提示。目前提出的漏洞包括:整數數值溢出漏洞、重入攻擊漏洞、外部調用返回值未校驗漏洞、tx.origin依賴漏洞以及時間戳依賴漏洞等,用灰底的“//ISSUE:”提醒。據介紹,整數數值漏洞說明幣有無限增發風險;重入攻擊最有名,著名的DAOattack就是這個漏洞造成的,它最造成攻擊者重復調用取款函數,一直將合約賬戶中的所有代幣取走;外部調用返回值是指,智能合約在地址上執行操作的底層方法,比如:address.call()、address.callcode()、address.delegatecall()和address.send。這些底層方法不會拋出異常(throw),只是會在遇到錯誤時返回false。在合約中調用外部合約時,應該對返回值進行判斷。如果沒有判斷,那么調用者可能會誤判交易是否成功,對于交易所造成財產損失;tx.origin依賴漏洞是指,不慎使用tx.origin進行鑒權認證有可能帶來釣魚攻擊。時間戳依賴漏洞指的是一些賭博類的Dapp使用時間戳來生成隨機數,會造成類應用結果可預測,這樣攻擊者可以直接贏得的獎勵。舉個例子,我們從以太坊上選擇一個211b合約地址,如:0x20B5c52d43a87ae8B375670d47D572681753211b,將這個合約地址用SmartContractInsight平臺“破解”,可以得到:

推特回應用戶數據被出售事件:并非通過推特系統漏洞泄漏:1月12日消息,推特隱私中心昨日發布“關于推特用戶數據被在線出售事件”的更新,稱針對近期媒體報道的推特用戶數據被網絡出售一事,推特進行了徹底調查,沒有證據表明近期被出售的數據是利用推特系統漏洞獲取的。這些數據可能是收集的公開數據,它們來自不同的信息源。

公告稱,2022年8月,推特告知用戶其2022年1月通過“漏洞賞金計劃”得知一漏洞的存在,該漏洞泄露了推特用戶賬戶,用戶的郵箱地址、手機號碼被竊取,目前該漏洞已修復。不過推特當時確認有不良行為者在問題得到解決之前利用了該漏洞后,及時通知了受影響的用戶和相關部門。

此前1月5日消息,安全公司稱,2億多個推特賬戶數據已被發布在某黑客論壇并可被免費下載,這與2022年12月報道的影響超過4億個賬戶的數據泄露事件相同,系刪除了重復項而產生。[2023/1/12 11:08:11]

編譯后的高級語言及風險提示SmartContractInsight平臺在提醒時用提醒風險或異常,方便判別合約安全性。我們可以看到,剛剛的合約地址反編譯后得到的代碼有整數溢出風險,也就是說,如果這是一個發幣平臺,就意味著這個幣有無限增發的風險。目前SmartContractInsight平臺免費開放,但如果對二進制合約有更詳盡的了解需求,平臺也提供人工審核部分,收部分安全費用。目前該平臺支持以太坊或基于EVM代碼的合約檢測。作為工具,操作非常簡單,但如果能根據編譯結果沉淀出一些分析結果或許更好。智能合約的安全問題一直被行業關注。此前,安全公司CertiK發布智能合約自動檢測引擎CertiKAutoScanEngine,并對Etherscan平臺進行了技術集成與大規模的通證安全檢測;評級機構RatingToken面向C端上線其智能合約查詢檢測功能,同時為B端提供智能合約實時監測功能。Trustlook是位于硅谷的移動安全解決方案提供商,多年來服務于華為、亞馬遜、高通等一線軟硬件廠商,創始人AllanZhang曾是PaloAltoNetwork的創始安全工程師,團隊目前17人,均屬研發團隊。公司于2015年完成1700萬美元A輪融資,摯信資本領投,星元資本、線性資本等跟投。我是Odaily星球日報記者遂心,加好友煩請備注姓名、單位、職務和事由。

BTC跌破17900美元:金色財經報道,行情顯示,BTC跌破17900美元,現報17899.6美元,日內跌幅達到9.38%,行情波動較大,請做好風險控制。[2022/11/9 12:38:09]

HTC元宇宙手機將支持以太坊和Polygon:金色財經報道,HTC在其 6.6 英寸的元宇宙手機中預裝了來自其元宇宙分支Viverse的應用程序,為用戶提供了所謂的豐富的元宇宙體驗,而無需 VR 耳機。該公司表示,通過手機內置的Viverse應用程序和Vive錢包,用戶可以創建虛擬化身并管理加密資產,包括以太坊和Polygon上的NFT和加密貨幣。金色財經此前報道,HTC宣布推出首款元宇宙手機,售價為新臺幣11990元。[2022/7/5 1:51:58]

Tags:以太坊元宇宙DAPAPP以太坊交易所排名元宇宙數字虛擬人是什么Bonkey dAPPCompound Wrapped BTC

幣安下載
小明學習筆記 | 一文看懂礦池是干嘛的_ASI

編者按:區塊鏈涉及到的技術很多,從互聯網底層到不明覺厲的密碼學,可是往往關注幣價者多而研究技術的人少。牛市的時候,大家為了炒幣也會努力學習,熊市的時候,反正也沒啥事,我覺得可以更加努力學習.

1900/1/1 0:00:00
數字證券研究報告系列之三: 數字證券海外發行案例精析——地產、基金_PEN

作者Cindy.ChenLegalDirectorKayn.HeAnalyst時間2019-01-28報告概要本文從數字證券全球現有的案例出發,結合美國SEC數字證券發行管理規定.

1900/1/1 0:00:00
金融巨鱷做空比特幣:從2萬美元一直逼到3155美元_比特幣

編者按:本文來自一本區塊鏈,作者:木樨、棘輪,星球日報經授權發布。比特幣誕生十年來,悲欣無數。有人一夜暴富,有人散盡家財。幣價跌宕起伏,是誰在操縱?對此,玩家們一直耿耿于懷.

1900/1/1 0:00:00
ETH周報(1月28日-2月3日):ProgPow升級代碼被推遲;價格正處于變盤關鍵期_ETH

作者|秦曉峰編輯|孫瑞麗一、整體概述本周,以太坊測試網絡G?rli已發布,將用于部署Ethereum2.0;在2月1日的公開電話會議上,以太坊開發人員決定推遲提交ProgPow升級代碼.

1900/1/1 0:00:00
OK Research 區塊鏈行業周報(第44期)_數字資產

本周行情總覽本周,全球區塊鏈數字資產日均市值為1200.92億美元,較上周下跌3.19%,其中TOP5數字資產日均總市值較上周上漲5.45%;全球數字資產日均交易量為202.4億美元.

1900/1/1 0:00:00
交通運輸、房地產——區塊鏈在住行方面的獨特應用_區塊鏈

編者按:本文來自鏈塔智庫,作者鏈塔分析師團隊,Odaily星球日報經授權轉載。實體經濟,指一個國家生產的商品價值總量,包括物質的、精神的產品和服務的生產、流通等經濟活動.

1900/1/1 0:00:00
ads