區塊鏈行業火爆繁榮的同時,安全問題引發眾人矚目,交易所,智能合約……遭遇黑客瘋狂狙擊,安全問題迫在眉睫。
7月8日,降維安全實驗室爆出AMR合約存在高危漏洞,攻擊者可隨意增發代幣。隨後圳鏈安合夥伴BCSEC安全團隊,PeckShield安全團隊,創宇信息技術有限公司等對此智能合約進行分析並確認漏洞真實存在而且已經被黑客利用。
7月8日凌晨1點左右,降維安全實驗室(johnwick.io)自動化監控系統監測到AMR合約存在高危安全風險的交易,立即對此安全事件進行全過程還原分析並及時對合作夥伴告警。通過對代碼分析,發現其中存在重要安全溢出漏洞,目前已經被人惡意利用並且進行大量增發,降維安全實驗室已經對合作夥伴交易所進行高危預警並且停止風險幣種交易。降維安全實驗室提醒相關機構:智能合約需要進行嚴格謹慎的安全評估才可以代表資產進行交易,也請相關用戶注意數字資產安全。
根據美國區塊鏈安全公司CipherTrace發佈的報告顯示,2018年上半年,加密貨幣交易所中大約有7.61億美元的加密貨幣被盜,被盜規模是2017年全年水平的三倍,2017年全年交易所失竊的加密貨幣價值為2.66億美元。安全不僅是交易所的面臨的頭號難題,更是區塊鏈技術向前發展過程中的阻礙。
每當智能合約被曝安全漏洞後,黑客就可以輕易地利用這些漏洞,進行虛擬貨幣的無限增發、隨意轉賬等等。根據白帽匯安全研究院的《區塊鏈產業安全分析報告》,截止6月底,由於智能合約所導致的安全問題已經造成了12.4億美元的損失,佔到了總損失的43.3%。
智能合約漏洞是不可避免的,對於本次AMR合約漏洞造成的損失以及怎樣通過技術的手段解決這一漏洞都是人們所關心的問題,對此金色財經記者採訪了發現這次漏洞的降維安全實驗室的技術人員。以下是採訪內容:
金色財經記者:降維安全實驗室在7月8日監控到AMR合約漏洞,AMR合約漏洞出現的原因是?
降維安全實驗室:我們對市場上出現的合約會進行長期的監控並進行大數據分析,也正是因為通過這種方式降維安全監控到了AMR合約的漏洞,通過對代碼的研究分析,我們發現AMR合約出現漏洞的原因是由於合約代碼編寫過程中的缺陷導致整數溢出,從而引起用戶資產損失的。
金色財經記者:AMR合約漏洞出現後造成了怎樣的影響,解決的方式是?
降維安全實驗室:AMR合約漏洞出現後,導致token大量增發,而相關交易所在發現漏洞問題後立即停止了AMR的交易,此次AMR合約漏洞實際上對用戶、項目方和交易所都造成了損失。
金色財經記者:目前黑客利用漏洞增發增發AMR代幣的量是多少?對用戶造成了哪些影響?
降維安全實驗室:黑客通過AMR合約漏洞增發了
11579208923731620000000000000000000000000000000000000000000000代幣,持有這些代幣的用戶資產被無限稀釋近乎清零,此漏洞是由於整型溢出問題引起,最終會導致原交易發起人使用0個或者少量的幣就可以給其他地址轉入大量的代幣。
金色財經記者:目前AMR合約漏洞問題解決的進展如何?
降維安全實驗室:AMR合約項目方已經在進行緊急整改,相信不久就會有更完善的版本發佈。
金色財經記者:安全公司稱發現黑客利用了multiTransfer 函數觸發漏洞具體是怎樣一個過程,從技術角度看嚴重程度是多少?是否容易修復?
降維安全實驗室: 我們通過對代碼研究分析的確發現黑客利用了multiTransfer這個函數,其中最關鍵的點在於一個整數溢出導致相關的邏輯判斷失效,從而繞過合約的安全檢查直接修改用戶的token數量,通過直接使用安全的數學運算操作方法可以及解決該問題。
金色財經記者:這次AMR合約漏洞和ERC20代幣漏洞有何相似之處?
降維安全實驗室:這次AMR合約漏洞是在合約裡非常典型的一個整數溢出問題,屬於合約語言層面編寫不當導致的問題,如果沒有經過嚴格的安全審計就會造成資產損失,之前ERC20代幣裡已經出現過幾次類似的案例,比如BEC美蜜價值歸零漏洞以及SMT代幣溢出漏洞問題。
ERC20代幣之所以頻繁出現漏洞問題,是因為新上線的合約基本上都是直接複製ERC20的智能合約模板。為了安全起見,應該儘量選擇安全性較高的權威模板,降低出現漏洞的風險。
金色財經記者:安全問題一直是備受關注,交易所,智能合約漏洞頻發,您認為應該如何推動整個區塊鏈行業對安全的重視,降維安全在此過程中將會扮演怎樣的角色,未來將會提供怎樣的產品或服務,今後如何佈局?
降維安全實驗室:區塊鏈技術是價值互聯網的基石,無論是交易所、錢包還是智能合約,整個生態裡任何角色的安全問題都可能對行業的發展產生影響,區塊鏈本身也是公開透明的,進行重要的安全事件披露可以讓越來越多的人關注區塊鏈安全,瞭解區塊鏈安全並且重視區塊鏈安全,從而推動區塊鏈行業安全的進步,降維安全實驗室以守護價值互聯網為出發點,未來會提供更多的安全預警以及安全解決方案,為行業輸出更多的安全能力。
安全問題一直是區塊鏈行業的“頑疾”,針對這種“頑疾”目前依舊沒有完全治癒“頑疾”的良方,所以金色財經提醒用戶投資時儘量選擇體量大的交易所和投資機構,降低資產被盜風險;提醒交易所和安全機構應該加大對安全方面的關注和投入,從而更好的促進區塊鏈行業健康發展。
閱讀更多 柯柯哎 的文章
