6月15日,ArmorsLabs安全團隊稱發現了迄今為止ERC20涉及面最廣的整體性漏洞,會導致代幣出現被向量攻擊的風險,而在當前數字貨幣市場上,超過90%智能合約使用ERC20標準,如果情況屬實,這個漏洞的嚴重程度可能影響60%以上交易所的數字貨幣。
事實真的是這樣嗎?
圳鏈科技合作伙伴白帽匯研究院旗下區塊鏈安全團隊BCSEC對ERC20標準的approve jaeden漏洞和零地址轉賬漏洞一一進行解析。
Approve 漏洞解析
BCSEC團隊認為“ERC20涉及面最廣的重大漏洞”—— approve jaeden漏洞僅有較低危害,問題更多出在人的層面,而不是代碼的層面。
舉個例子來說明approve jaeden漏洞的攻擊點就是:
小白通過某個渠道知道了我即將把他能挪用的餘額減少,他開始見利忘義,不想讓原本“屬於”他的幣被減少200個。
於是他在我修改之前就把這500個幣轉到自己的賬戶中了,此時他能挪用我的代幣數額為0。
而我並不知情,繼續把他能挪用我的代幣數額設置為300,小白一不做二不休,又把我的300轉走了。
原本的意願是想讓他能花我的幣的數額變少點,現在的結果是他變本加厲花得更多了。
零地址轉賬漏洞解析
另一個零地址轉賬漏洞0x0,BCSEC團隊認為實際上用處並不大,最大的危害就是大莊家哪天瘋了,可能會把自己的錢轉到0x0 ,讓這一部分代幣誰也拿不到,造成“代幣市場紊亂”。可是這無法阻止我“銷燬”代幣,我轉到0x1可以嗎?0x2可以嗎?
做安全研究是好的,但要以實事求是為前提,區塊鏈還在發展階段,屢次出現重大漏洞都會迎來暴跌,市場已經疲軟。在此背景下還誇大其詞大做文章,難免會有做空的嫌疑。
分享到:
閱讀更多 圳鏈科技 的文章
