Bancor智能合约漏洞及防范措施

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

6.18期间发生了令人头疼的事情。当你醒来时,你突然发现父母的账户可以随便使用,前男友的钱因为权限设置错误而被他以及他的前女友们共享。这不是意外之财,而是可能是老天犯了个错误。

这个漏洞恰好发生在6月18日Bancor部署的智能合约上。

Bancor在6月16日部署了他们的BancorNetworkv0.6智能合约,然后两天后发现合约存在严重的安全漏洞。攻击者可以利用这个漏洞转走合约里的钱。

智能合约可能会有很多漏洞,而这次Bancor智能合约的漏洞与函数权限有关。

在智能合约中,函数有4种访问权限,分别是Public(可被所有人调用)、External(只可被外部调用)、Internal(只可被合约本身及继承合约调用)和Private(只可被合约本身调用)。

需要强调的是,当函数权限设置为public时,任何人都可以调用这个函数,将合约中的钱转走。也就是说,如果你的前男友不小心将他的钱包权限设置为公开,那么包括他的现任、前任和前前任在内的任何人,都可以轻易地把他的钱转走。这对他来说肯定很郁闷。

接下来我们来看一下Bancor漏洞的代码。

在漏洞合约的第45行,我们看到了safeTransferFrom函数,它的功能是将钱从一个地址转到另一个地址,注意到该函数的权限被设置为public。

有趣的是,CertiK团队通过进一步调查发现,在有漏洞的合约部署两天后,Bancor团队用两个钱包地址来提取合约中的资金,以防止被黑客盗取。同时,两个第三方人员也开始利用这个漏洞提取资金。其中一位利用漏洞进行了16次取款交易,总共取出了131,889.34美元。这个第三方人员的ETH地址和邮箱分别是0x052ede4c2a04670be329db369c4563283391a3ea和arden43y@gmail.com。他声称这个地址背后是一个自动运行的交易系统,可能会无意利用人为失误和合约的漏洞获取资金。如果能够证明这个地址通过漏洞获取了钱,他可以将资金归还。而另一位的地址是0x854B21385544c44121f912AEdF4419335004F8ec和0x1ad1099487b11879e6116ca1ceee486d1efa7b00,他总共进行了四笔取款交易,共提取了3340美元。

Bancor对此事件进行了官方回应,其中提到他们使用漏洞将合约中的455,349美元转移到另一个钱包。他们还联系了两位第三方人员,请求他们退还利用合约漏洞转走的资金。随后,Bancor更新了有漏洞的合约,将public修改为internal。

这次严重漏洞发生的原因是开发人员在设置函数权限时犯了错误。在智能合约中,只要一个参数使用错误,就会导致合约中所有人的资金处于危险中。

幸运的是,这次漏洞没有被黑客利用,否则用户的资金将永远无法追回。

智能合约可能存在许多漏洞,包括但不限于DOS、逻辑错误、越权访问、重入和整数溢出等。这些漏洞中的任何一个都会给公司和用户带来巨大的财产损失,而且合约一旦部署就无法更改。

因此,确保智能合约没有漏洞非常重要。在部署合约之前,将其交给专业的安全公司进行安全审计是必不可少的环节。

CertiK通过数学验证在形式层面上证明智能合约的正确性,他们的目标是消除即使是0.00000001%被攻击的可能性。他们不仅仅寻找漏洞,而是要让漏洞不存在。

以上是CertiK安全审计的部分内容。

需要注意的是,程序测试只能证明漏洞的存在,而不能证明漏洞不存在。

文中提到的智能合约和地址链接可以在以下链接找到:

存在漏洞的智能合约:https://github.com/bancorprotocol/contracts-solidity/blob/4394c0e1d1785a71044101b1d6df57e332b73ba9/solidity/contracts/utility/TokenHandler.sol

漏洞合约部署的地址:0x8dFEB86C7C962577deD19AB2050AC78654feA9F70x5f58058C0eC971492166763c8C22632B583F667f0x923cAb01E6a4639664aa64B76396Eec0ea7d3a5f

修改后的智能合约:https://github.com/bancorprotocol/contracts-solidity/blob/master/solidity/contracts/utility/TokenHandler.sol

其他参考链接:https://blog.bancor.network/bancors-response-to-today-s-smart-contract-vulnerability-dc888c589fe4https://github.com/bancorprotocol/contracts-solidity/blob/4394c0e1d1785a71044101b1d6df57e332b73ba9/solidity/contracts/utility/TokenHandler.sol#L45https://explore.duneanalytics.com/public/dashboards/mEUEd9rQCPjeMkryEIgbtC0YUZwOXESQPTkkqdPXhttps://explore.duneanalytics.com/public/dashboards/mEUEd9rQCPjeMkryEIgbtC0YUZwOXESQPTkkqdPX

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/43684.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年08月05日
下一篇 2023年08月05日

相关推荐

  • 合约倍数是什么意思,合约里的倍数是什么意思

    一、合约里的倍数是什么意思合约里的倍数是指交易金额相对于标的物的数量的放大程度。详细解释如下:在金融业务中,合约通常指的是金融衍生品合约,如期货、期权等。这些合约允许投资者通过少量现金投入,就能参与到大量的标的资产交易中。倍数在这里起到了关键作用,它代表了

    2024-12-23 10:00:01
    1 0
  • 比特币怎么做期货,什么是比特币期货合约

    一、币圈包括期货吗币圈里面的期货不能叫期货,因为这不是正经的合规合法的期货,所以叫了一段时间后,被币圈里面的人改了名字,现在币圈里面的期货都叫“合约”。但是长时间那么叫也习惯了,异客在这里就暂时先不改这称呼了,毕竟换汤不换药,大家都知道是什么回事。异客一直

    2024-12-22 19:00:01
    4 0
  • 永续合约什么情况下爆仓,永续合约爆仓了会欠钱吗

    一、永续合约会爆仓吗永续合约会通过自动减仓来减少对手的盘仓位,这样就降低了市场风险。同时永续合约的价格设计机制,也让其不容易被恶意爆仓,但是永续合约也会爆仓,只不过没有分摊和插针。所以永续合约投资并不是没有爆仓的风险,就看投资者怎么去操作了。二、永续合约爆

    2024-12-22 16:00:01
    2 0
  • 虚拟币区块怎么查询,如何查区块链合约地址信息

    一、怎么查询所有区块链公链公链在哪里查询公链在浏览器查询。随着区块链的大热,越来越多的科技公司开始研究和开发区块链。在区块链迅速发展的同时,也有少部分项目方打着区块链的名号,在市面上进行招摇撞骗。如何判断公链真假,对于现在许多想要进行数字货币交易的群体来说

    2024-12-22 04:30:01
    4 0
  • hotcoin交易平台是什么,Hotcoin是什么合约交易所

    一、热币Hotcoin交易所靠不靠谱1. Hotcoin(热币)交易所是一个靠谱的平台,拥有全球最大的用户增长之一。2.该平台专注于提供数字资产兑换交易服务,并且致力于区块链技术的创新与研发。3. Hotcoin旨在为全球用户提供一个安全、便捷、高效的数字资产兑换环境,努力成为全球领

    2024-12-20 10:00:01
    7 0
  • usdt现货是什么意思,usdt永续合约是什么意思

    一、砸盘吸筹是什么意思庄家坐庄时的巨大资金要想悄无声息地就进驻到某一只上市公司股票中,也非一日一时之功。往往需要在相对的价格低位上反复震荡,或者通过长期横盘的方式令短线客忍无可忍.最后敬而远之:或者通过上蹄下跳的股价跳跃方式引诱散户难耐寂寞而低抛高吸,使之最

    2024-12-18 02:30:01
    10 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载