Fly_鹏程万里

专注于IT技术,只做IT技术的分享与研究,欢迎广大IT技术人员参与分享与讨论!...

排序:
默认
按更新时间
按访问量
RSS订阅

以太坊生态缺陷导致的一起亿级代币盗窃大案

去年,慢雾安全团队观测到一起自动化盗币的攻击行为,攻击者利用以太坊节点 Geth/Parity RPC API 鉴权缺陷,恶意调用 eth_sendTransaction 盗取代币,持续时间长达两年,单被盗的且还未转出的以太币价值就高达现价 2 千万美金,还有代币种类 164 种,总价值难以估计(...

2019-05-09 23:33:27

阅读数 45

评论数 0

以太坊Fountain代币遭溢出攻击

相关线索: Fountain代币合约源码: https://etherscan.io/address/0x82cf44be0768a3600c4bdea58607783a3a7c51ae#code 本次攻击主要利用了合约中的batchTransfers函数,攻击交易地址: https://...

2019-01-08 10:37:34

阅读数 72

评论数 0

从一起“盗币”事件看以太坊存储 hash 碰撞问题

“盗币” 十一月六日,我们观察到以太坊上出现了这样一份合约,经调查发现是某区块链安全厂商发布的一份让大家来“盗币”的合约。 pragma solidity ^0.4.21; library SafeMath { function mul(uint256 a, uint256 b) in...

2018-12-18 08:57:09

阅读数 139

评论数 0

竞态条件

竞态条件引发​ 以太坊智能合约的特点之一是能够调用和利用其他外部合约的代码,调用外部合约主要存在的危险就是外部合约可以接管控制流,并对调用函数不期望的数据进行更改。这类漏洞有多种形式,包括重入和交易顺序依赖等。 重入漏洞(Reentrancy) 问题描述 ​ 合约通常也处理 Ether,因此...

2018-12-17 18:03:41

阅读数 49

评论数 0

以太坊漏洞分析————10、区块参数依赖

橘生淮南则为橘,生于淮北则为枳,叶徒相似,其实味不同。所以然者何?水土异也。                                                                                                              ...

2018-12-17 18:02:02

阅读数 64

评论数 0

以太坊漏洞分析————9、外部状态变量

外以欺于人,内以欺于心                         ————  唐·韩愈《原毁》 我们在前几回主要讨论的都是在合约内部构建函数和代码书写规范时产生的一些误区和安全隐患。但是对于智能合约这个崭新的概念,仅仅从合约层面本身考虑合约的安全可能并不足够。合约开发者在这个产业蓬勃发展的...

2018-12-17 18:01:57

阅读数 68

评论数 0

以太坊漏洞分析————8、以太转账安全风险

金风未动蝉先觉 ,暗算无常死不知 —— 《名贤集》之《七言篇》 我们在之前的漏洞分析连载中讨论了花样繁多的代币合约漏洞,这些代币合约大部分都是对于代币进行操作,并不一定涉及以太坊中心货币 – 以太币(Ether)。然而,随着游戏合约如雨后春笋般的大量出现,越来越多的游戏合约直接将以太币作为游戏资...

2018-12-17 18:01:51

阅读数 66

评论数 0

以太坊漏洞分析————7、存储器局部变量未初始化

行身践规矩,甘辱耻媚灶。——韩愈 我们在上一期的区块链游戏漏洞的汇总和分析中将目前游戏合约出现的问题与前几期的漏洞连载分析进行了联动,发现游戏合约的漏洞很大一部分是在重复之前代币合约的重大错误。被鲜亮外衣包裹的游戏合约在吸引更多眼球的同时,也需要对安全问题提高重视,才能获得更长远的发展。 基础...

2018-12-17 18:01:45

阅读数 86

评论数 0

以太坊漏洞分析————6、游戏合约漏洞全面汇总

引子:故纸堆里寻惑源,多少旧事屡重演 —— 无名 区块链行业日新月异,发展迅猛,各个公链及项目方奇思妙想层出不穷。俗话说,玩是人的天性,将数字货币与游戏结合,运用游戏的机制吸引投资者参与到互动中来的想法以标新立异、推陈出新的姿态引领了最近的潮流。各种区块链游戏聚集大量的虚拟货币,价值动辄上千万,...

2018-12-17 18:01:40

阅读数 64

评论数 0

以太坊漏洞分析————5、权限验证错误

引子:横看成岭侧成峰,远近高低各不同。不识庐山真面目,只缘身在此山中。                                                                                                                 ...

2018-12-17 18:01:35

阅读数 70

评论数 0

以太坊漏洞分析————4、底层函数误用漏洞

引子:阵有纵横,天衡为梁,地轴为柱。梁柱以精兵为之,故观其阵,则知精兵之所有。共战他敌时,频更其阵,暗中抽换其精兵,或竟代其为梁柱,势成阵塌,遂兼其兵。并此敌以击他敌之首策                                                              ...

2018-12-17 18:01:23

阅读数 51

评论数 0

以太坊漏洞分析————3、竞态条件漏洞

引子:至道问学之有知无行,分温故为存心,知新为致知,而敦厚为存心,崇礼为致知,此皆百密一疏。                                                                                                      ...

2018-12-17 18:01:17

阅读数 119

评论数 1

以太坊漏洞分析————2、拒绝服务漏洞

引子:秦人不暇自哀,而后人哀之;后人哀之而不鉴之,亦使后人而复哀后人也。                                                                                                                ...

2018-12-17 18:01:11

阅读数 147

评论数 1

以太坊漏洞分析————1、溢出漏洞

事件回顾 2018年4月22日,黑客对BEC智能合约发起攻击,凭空取出 57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968 个BEC代币并在市场上进行抛...

2018-12-17 18:01:06

阅读数 88

评论数 0

以太坊智能合约中随机数预测

一、前言 作为首次币发行(ICO)的平台,以太坊已经获得了极大的普及。 但是,它不仅仅用于 ERC20 通证,轮盘,彩票和纸牌游戏都可以使用以太坊区块链实现。 与任何区块链实施一样,以太坊是不可逆的,去中心化的,透明公开的。 以太坊允许运行图灵完备程序,这些程序通常用 Solidity 编写,使...

2018-12-17 09:17:37

阅读数 118

评论数 0

Gas(矿工费)滥用漏洞的最新披露

Gas是什么? 在英文中gas有燃气的意思,于是以太坊很形象地引用了这个词,在以太坊中可以把gas理解为“交易手续费”也可以理解为“矿工费”等等,凡是要上链的每一笔交易都必须支付手续费,以太坊网络就像是一个世界计算机,使用这个计算机的资源是必须付出相应的费用的。 基于这种经济模型,以太坊还...

2018-11-22 14:32:17

阅读数 65

评论数 0

以太坊EVM动态数组越界导致OOM分析

solidity 动态数组原理分析 solidity 和Python ,JavaScript 一样,支持动态数组.我们知道,在Python 和JavaScript 里,动态数组内部的对象(比如:Length ,Slice() 等)都是底层设计好的对象结构,提供接口到运行时库来解析执行.那么在so...

2018-11-21 12:33:19

阅读数 58

评论数 0

首个区块链 token 的自动化薅羊毛攻击分析

一、事件介绍 近期,启明星辰ADLab联合电子科技大学的陈厅副教授【1】追踪到了以太坊token中的首个自动化薅羊毛攻击事件。被攻击的合约地址为0x86c8bf8532aa2601151c9dbbf4e4c4804e042571【2】,token名称为Simoleon (SIM),截止目前有接近...

2018-11-21 10:28:24

阅读数 238

评论数 0

LCTF2018 ggbank 薅羊毛实战

11.18号结束的LCTF2018中有一个很有趣的智能合约题目叫做ggbank,题目的原意是考察弱随机数问题,但在题目的设定上挺有意思的,加入了一个对地址的验证,导致弱随机的难度高了许多,反倒是薅羊毛更快乐了,下面就借这个题聊聊关于薅羊毛的实战操作。 分析 源代码https://ropsten...

2018-11-21 10:21:08

阅读数 122

评论数 0

深度技术解读:Fomo3D 游戏第一轮是如何结束的

以太坊网络上备受瞩目的游戏Fomo3D(Fomo3D:Long)第一轮在前天(北京时间 8 月 22 日下午 3 点左右)结束了。最终,地址为 0xa169... 的玩家获得了 10469.66 Eth 的奖金,其取款交易被记录在了 6191962 区块中,该玩家在游戏中的总投入不到 0.8 Et...

2018-11-20 09:58:17

阅读数 47

评论数 0

提示
确定要删除当前文章?
取消 删除