以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > 屎幣 > Info

【首發】智能合約風險列表發布,ERC20 Token安全問題有據可查_以太坊

Author:

Time:1900/1/1 0:00:00

以太坊ERC20Token標準自2015年11月19日誕生以來,為智能合約、以太坊生態以及區塊鏈應用的發展做出了巨大的貢獻。據Etherscan網站數據顯示,截止2018年6月26日,以太坊主網上ERC20Token數量已超過90000。下圖是統計的ERC20每日創建數量趨勢圖。

這些Token合約所承載的價值不可估量。然而近幾個月以來,以BEC事件為開端,引發的一系列的鏈式反應,越來越多的合約漏洞與不兼容性問題相繼被曝光。目前智能合約安全問題的分析披露還比較散亂,對智能合約的開發和后續的使用所起到的作用非常有限,社區缺乏一套完備的合約問題匯總機制。因此安比實驗室在分析了近期爆出的合約風險問題和大量的智能合約源碼后,攜手路印發布智能合約風險列表,聯合去中心化交易所DEx.top、輕信科技、Consensys中國、長亭科技等技術團隊,共同對該風險列表進行維護。

由于以太坊上部署的合約數量規模還在不斷增大,未來還會有更多更復雜的問題暴露出來。因此,我們倡導發起Token合約風險列表共建計劃,呼吁更多關心區塊鏈生態的團隊或技術人員參與進來,共同維護這份合約風險列表。

ERC20Token的安全問題總結

ERC20Token漏洞事件回顧

在ERC20Token逐漸成熟和完善的發展過程中,不少ERC20智能合約曾出現過重大漏洞,對項目方、投資人、交易所甚至整個以太坊社區造成了比較大的經濟損失。例如:

Solana游戲開發商Automata宣布大規模裁員:金色財經報道,Solana游戲開發商Automata (ATMTA) 將進行“大幅裁員”,以保持其開發Star Atlas的能力。重組后,Automata團隊將僅有 45 名員工,而 2022 年底該團隊的員工人數為 235 人。

根據 Discord 7 月 24 日發布的公告,ATMTA 首席執行官兼聯合創始人 Michael Wagner 表示,重組后的團隊將把重點轉向交付 SAGE 和新發布的 Crew 移動應用程序。與此同時,結合虛幻引擎 5 和 Solana 的軟件開發工具包 (SDK) 的開發將提高開發速度,該 SDK 是 Star Atlas 游戲的基礎。

Wagner寫道,該項目大約 33% 的收入被視為游戲內代幣 Atlas,該團隊一直在持有,但該代幣在過去一年中損失了大約 80% 的價值。[2023/7/26 15:58:20]

2016年6月18日,DAO合約遭到攻擊,導致超過3,600,000個以太幣(ETH)被盜,迫使以太坊社區不得不采取硬分叉的手段來減少損失,而這更是直接引起了以太坊社區的分裂2018年4月22日,黑客攻擊了美鏈(BEC)的Token合約,通過一個整數溢出漏洞,一時間BEC的價格幾乎歸零。我們發現至少有10份合約存在該類問題。2018年4月25日,SMT爆出類似整數溢出漏洞,黑客制造和拋售了天文數字規模的Token,導致SMT價格崩盤。2018年5月20日,嚴重的邏輯漏洞導致EDU用戶的Token可被任意轉出,同時還有其它3個Token存在相同問題。2018年6月12日,一系列ERC20智能合約整數溢出漏洞(CVE-2018-11687,CVE-2018-11809,CVE-2018-11810,CVE-2018-11811,CVE-2018-11812)又被爆出,據不完全統計有800多個合約受到影響。

Covalent與Polygon zkEVM合作以支持擴展以太坊生態系統:金色財經報道,Covalent發推表示已與Polygon zkEVM合作,從3月27日開始,用戶可以通過Covalent訪問 Polygon zkEVM數據。 該合作進一步加強了Covalent作為第一個Web3數據聚合器的作用,為zkEVM區塊鏈提供完全的數據透明性。

此前報道,Covalent宣布與zkEVM解決方案Scroll建立合作伙伴關系。[2023/3/10 12:55:00]

大量ERC20Token實現未嚴格遵守規范

未參照ERC20標準實現Token合約會給DApp開發帶來較大的困擾。某知名DApp團隊在深入分析了排名前20的合約之后,提示社區需要對Token合約的諸多實現問題和不規范行為重視起來,尤其是對于新的DApp開發者,提早避免一些問題。

NearlyathirdofthetimedevelopingBsktwasspentauditingexternaldependencies.WehighlyencourageotherEthereumdevteamstobeawareofthedangersinexternaldependencies.Unlikesoftwaredevelopmentinmostsystems,it’scriticaltoreadtheimplementationofdeployedcontractsyoudependon—notjusttheinterface.

LendHub攻擊者將2415枚ETH轉入Tornado Cash:金色財經報道,PeckShield監測顯示,HECO 生態跨鏈借貸平臺LendHub攻擊者將2415枚 ETH(約385萬美元)轉移至Tornado Casho。

此前1月12日消息,LendHub 因沒有將其日版本合約棄用而遭受黑客攻擊,造成了600萬美元的損失。[2023/2/27 12:31:25]

我們還注意到,大量已部署Token合約曾經參考了以太坊官網以及OpenZeppelin等其它DApp。據不完全統計,存在該類問題的合約超過2000份。

若干Token合約在標準approve()函數中添加了對當前賬戶余額校驗邏輯。導致采用類似0x協議的諸多DApp有可能無法正常完成approve(),必須由Token項目方提前轉入一筆數額巨大的Token至中間賬戶,這給DApp和交易所帶來了諸多不便。超過17份合約存在該問題。

ERC20規范中規定了幾個可選的通用查詢接口如name()、symbol()、decimals(),因而大量Token合約未提供這些接口,甚至不少采用NAME()、SYMBOL()、DECIMALS()等不一致的寫法,也給合約的外部調用帶來了極大的麻煩。存在該類問題的合約超過3000份。

ERC20標準中還規定了Transfer和Approval事件必須在特定場景下觸發。很多Token的實現參考了以太坊官網的不標準代碼,漏掉觸發Approval事件的操作。存在該類問題的合約超過1800份。

數據:6月OpenSea以太坊鏈上美元銷售額暴跌超7成,銷售量增長4%:金色財經報道,根據Dune Analytics數據顯示,6月頭部NFT市場OpenSea在以太坊區塊鏈上的美元銷售額僅為6.96億美元,相較于5月的25.9億美元下降了73%;OpenSea在Polygon鏈上的美元銷售額為8,856,717美元,較5月的2665萬美元下跌了66%。不過,6月OpenSea在以太坊鏈上出售的NFT總數量達到1,543,975枚,相較于5月份的1,478,553枚增長4%,但在Polygon鏈上NFT銷售量下降了49%,僅為154,282枚。[2022/7/2 1:45:46]

ERC20安全問題匯總與分類

我們對數萬份ERC20Token合約存在的問題進行分析統計,已將所有統計數據上傳至Github倉庫。

Github倉庫地址:https://github.com/sec-bit/awesome-buggy-erc20-tokens

已發現的所有ERC20Token合約安全風險問題被歸納為三大類:代碼實現漏洞,不規范問題,權限管理問題。

代碼實現漏洞涵蓋了合約代碼功能實現和邏輯實現上的漏洞,如整數溢出不規范問題涵蓋了因代碼實現不規范導致版本不兼容或者外部合約調用時的無法不兼容問題,如ERC20接口無返回值權限管理問題涵蓋了所有因管理權限設置不當而引發的問題,如owner可以操作任何人賬戶上的余額

歐洲銀行巨頭Caceis選擇Taurus提供數字托管服務:金色財經報道,總部位于法國的 Caceis 是最新一家宣布計劃開發其數字資產托管服務的資產服務公司。作為法國農業信貸銀行和桑坦德銀行集團的資產服務部門的托管人選擇了總部位于瑞士的 Taurus 來幫助提升其數字資產產品。

Caceis 將把自己的服務和系統與 Taurus 平臺連接起來,重點關注三個領域——數字資產的安全托管和智能合約管理;通過區塊鏈發行數字資產和代幣化;通過 Taurus 與其他區塊鏈連接。(finextra)[2022/6/29 1:38:58]

問題列表如下:

在awesome-buggy-erc20-tokens倉庫的文章中對每個問題給出了詳細描述信息。

如何使用Token合約風險列表

Token合約開發者:本列表提供了詳細的問題描述和相關合約列表,希望能夠借此提ERC20Token合約開發者的安全意識,避免在后續的合約開發中重復踩坑。DApp項目方:以太坊平臺的DApp可能會與多個ERC20Token合約對接。DApp項可以通過本倉庫查閱已部署的問題合約的詳細信息,獲知Token合約存在的問題,避免因Token合約的漏洞或者合約的不兼容問題,給DApp帶來不必要的麻煩。其他生態參與者:本列表收錄了大量ERC20Token合約存在的風險問題,并記錄了市值排名較的672份已部署的Token合約的基本信息和問題詳情,大家可以通過查閱本倉庫來找到問題合約,了解已部署Token合約存在的風險。

Token列表包含哪些內容

awesome-buggy-erc20-tokens倉庫共收錄了以太坊上數萬份ERC20Token合約中存在的問題。主要包含三部分內容:Token合約的基本信息,問題Token列表,風險問題匯總。

1.合約的基本信息倉庫中目前已收錄的合約,所有問題合約均來源于此。

另外,倉庫中還統計coinmarket網站收錄的Token合約的詳細信息,包括token的排名,token名稱,token縮寫符號,總量,小數位數和上線交易所的信息。

2.所有的問題合約列表,列表分別以json和CSV的形式展示,也便于導入表格軟件或者編寫腳本進行分析。

3.風險問題匯總文件

倉庫中共收錄了28種合約風險問題,對所有問題的詳細信息,包括詳細的描述、錯誤的代碼實現示例、推薦修改的代碼實現示例、存在該問題的合約列表和對該問題報道的相關鏈接。

以batchTransfer-overflow問題為例:

聲明

本列表信息全部來源于以太坊區塊鏈,etherscan.io,coinmarketcap.io等公開網站上的公開信息本列表所列所有問題均屬于已披露的漏洞或缺陷,不包含任何未公開漏洞本列表中存在多個合約Token名稱重復現象,請以合約地址為準;Token名稱只做參考,可能與知名項目重復,請勿過分解讀本列表中的數據可能會存在偏差或遺漏,請大家直接提交更改請求或者通知我們(info@secbit.io)

發起共建計劃

awesome-buggy-erc20-tokens倉庫由安比實驗室持續維護,路印團隊提供信息更新支持。并歡迎大家共同參與維護更新工作,共同推進以太坊生態健康發展。參與方式:

提交未被列入的問題ERC20Token合約地址提交新的ERC20Token合約漏洞提供改進建議或參與討論

同時我們也在尋求更多的力量,來共同開發更友好的前端查詢頁面,以供大家查詢。如果你有其他任何問題或者想法,歡迎加入我們的Gitter參與討論。

安比實驗室與路印合作共建安全可信的以太坊生態,安比實驗室團隊將擔任路印協議的安全顧問,提供合約驗證與Token合約審計技術服務。路印協議是基于智能合約的去中心化交易撮合協議,提供100%開源的去中心化交易前后臺解決方案。詳情請訪問路印官網:https://loopring.org

致謝:特別感謝DEx.top團隊參與早期列表建設想法的討論;感謝葉健,ZongminYu,吳玉會,YiTang等人對合約風險列表內容所提供的寶貴意見。

Reference

MarketshareofEthereum-basedtokensgrowsto91%https://medium.com/@amincad/market-share-of-ethereum-based-tokens-grows-to-91-fdefadfd9f6eAdisastrousvulnerabilityfoundinsmartcontractsofBeautyChain(BEC)https://medium.com/secbit-media/a-disastrous-vulnerability-found-in-smart-contracts-of-beautychain-bec-dbf24ddbc30e,Apr23,2018.UnderstandingTheDAOHackforJournalistshttps://medium.com/@pullnews/understanding-the-dao-hack-for-journalists-2312dd43e993,Jun19,2016.SmartMeshAnnouncementonEthereumSmartContractOverflowVulnerabilityhttps://medium.com/smartmesh/smartmesh-announcement-on-ethereum-smart-contract-overflow-vulnerability-f1ded8777720,Apr25,2018.SECBIT:智能合約紅色預警:四個Token驚爆邏輯漏洞,歸零風險或源于代碼復制https://mp.weixin.qq.com/s/lf9vXcUxdB2fGY2YVTauRQ,May24,2018.ERC20智能合約整數溢出系列漏洞披露https://www.secrss.com/articles/3289,Jun12,2018.數千份以太坊Token合約不兼容問題浮出水面,恐嚴重影響DAPP生態https://mp.weixin.qq.com/s/1MB-t_yZYsJDTPRazD1zAA,Jun8,2018.ERC20智能合約的approve千萬別這樣寫https://mp.weixin.qq.com/s/hYE4nu7FCD_nJH5WMRrXMA,Jun15,2018.Whatwelearnedfromauditingthetop20ERC20tokencontractshttps://blog.cryptofin.io/what-we-learned-from-auditing-the-top-20-erc20-token-contracts-7526ef3b6fb1,Mar28,2018.

Tags:以太坊CVEBEC以太坊幣是什么幣CVE幣是什么幣BEC幣BEC價格

屎幣
區塊鏈日報:加密貨幣交易日元居首,西聯匯款入局數字貨幣轉賬_區塊鏈

區塊鏈日報:加密貨幣交易日元居首,西聯匯款入局數字貨幣轉賬據Coinness作者分析,BTC繼續橫盤在斐波那契23.6%阻力之下,振幅縮小,正在積蓄變盤力量.

1900/1/1 0:00:00
高能預警!假加密貨幣應用程序在您的計算機上安裝勒索軟件_加密貨幣

研究人員發現,SpriteCoin錢包將鎖定您的文件并要求贖金。如果你付錢,黑客只是安裝更多的惡意軟件。一個惡意的軟件聲稱可以幫助你存儲一個名為SpriteCoin的加密貨幣.

1900/1/1 0:00:00
比特幣之后,區塊鏈應用將是下個戰場!_區塊鏈

進入2018年后,區塊鏈的討論持續升溫,業內相關的幾大事件備受大眾的關注。有人說區塊鏈技術是一場社會革命,區塊鏈可以重新定義所有人,所有組織之間的協作關系.

1900/1/1 0:00:00
朱嘯虎:大部分區塊鏈創業者是繞圈子 最后就是發幣_區塊鏈

雷帝網樂天3月7日報道 金沙江創投董事總經理朱嘯虎今日與火星財經發起人王峰展開互動,朱嘯虎在互動中說,“很少有人覺得我傲,當年的程維還讓我坐了半小時的冷板凳.

1900/1/1 0:00:00
人物|他是比特幣核心開發人員,現在卻想“毀”了比特幣?_比特幣

“當我第一次聽說比特幣時,我認為這是不可能的。你怎么能擁有純數字貨幣?難道我不能復制你的硬盤并拿走比特幣嗎?我不明白如何實現這一點,直到我認真了解它,它真是無與倫比.

1900/1/1 0:00:00
加密幣錢包成新風口 安全與體驗不可兼得_加密貨幣

第404期 加密幣錢包成新風口 安全與體驗不可兼得 文|陳赫責任編輯|徐鵬 審核|趙玨策劃|劉克麗 加密貨幣錢包產業興起。現在加密貨幣甚至已經可以進行跨境支付,購買商品,其生態正在逐漸豐富.

1900/1/1 0:00:00
ads