當前位置:首頁 >  IDC >  安全 >  正文

Erc-20漏洞百出,Variant能抵抗量子計算機的攻擊

 2018-04-26 15:24  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

近日,壓抑了許久的數(shù)字貨幣終于走出寒冬,開始回暖,以EOS為首,帶動比特幣、以太幣等大漲。

截至北京時間25日17:15,EOS近七日漲幅漲幅高達66.31%,BCH近七日上漲61.82%,ETH、XRP漲幅均超過26%,BTC漲16.37%至9327.2美元。行情圖上一片春意盎然,萬里江山一片紅。

但幣友們還未來得及彈冠相慶,一則噩耗為剛剛回暖的幣市蒙上一層陰影:因SMT也被曝出現(xiàn)與BEC類似的漏洞,火幣、OKEx雙雙暫停了SMT交易。

BEC、STM接連曝光安全漏洞,一時間,ERC-20漏洞問題引發(fā)業(yè)內(nèi)廣泛討論。如果沒法從根本上解決漏洞,那么受害的不僅僅是投資者,虛擬貨幣生態(tài)中的所有參與者都將終日提心吊膽。

十幾款ERC-20智能合約存在整數(shù)溢出漏洞

22日,黑客利用以太坊ERC-20智能合約中BatchOverFlow漏洞中的數(shù)據(jù)溢出的漏洞,攻擊了BEC智能合約,通過合約的批量轉(zhuǎn)賬方式無限生成代幣,成功向兩個地址轉(zhuǎn)出了天量級別的BEC代幣,瞬間引發(fā)BEC拋售潮,BEC 64億價值幾乎歸零。

黑客先是試探性地往OKEx中轉(zhuǎn)入100萬的BEC Token,成功轉(zhuǎn)入賣出后,又分2次轉(zhuǎn)入了1000萬的BEC Token,發(fā)現(xiàn)兩次都成功,便轉(zhuǎn)入了1億枚BEC Token。

發(fā)現(xiàn)問題后,OKEx當即停止了BEC的交易。BEC團隊也公告表示將與OKEx交易所合作回滾到黑客轉(zhuǎn)入Token之前的數(shù)據(jù)以保護投資者的權(quán)益。

BEC風波未平,另一款加密數(shù)字貨幣SMT也被爆出現(xiàn)類似漏洞。

4月25日上午,火幣Pro發(fā)布公告,虛擬幣SMT項目方反饋當日凌晨發(fā)現(xiàn)其交易存在異常問題,經(jīng)初步排查,SMT的以太坊智能合約存在漏洞?;饚臥ro也同期檢測到TXID為0x0775e55c402281e8ff24cf37d6f2079bf2a768cf7254593287b5f8a0f621fb83的異常。受此影響,火幣Pro暫停所有幣種的充提幣業(yè)務。

與此同時,OKEx也已暫停了SMT交易。

早在BEC事件之后,區(qū)塊鏈安全公司Peck Shield的團隊利用自動化系統(tǒng)掃遍了以太坊智能合約并對它們進行分析。結(jié)果發(fā)現(xiàn),除BEC Token之外,有超過12個ERC-20智能合約都存在BatchOverFlow整數(shù)溢出漏洞,其中也包括已經(jīng)在交易所上進行交易的幣種。黑客可以利用這一漏洞轉(zhuǎn)賬生成不存在的Token,并轉(zhuǎn)入交易所正常交易獲利,與真的Token無異。

Peck Shield團隊23日凌晨發(fā)布安全報告,提到黑客利用in-the-wild手段抓取以太坊ERC-20智能合約中的BatchOverFlow這個整數(shù)溢出漏洞來進行攻擊。    

而這一切都源于一個簡單至極的程序Bug。Peck Shield的安全預警報告中提到了該漏洞的具體細節(jié),這個漏洞出現(xiàn)在ERC20智能合約的batch Transfer函數(shù)當中,代碼如下圖所示:

為了驗證該漏洞存在的真實性,Peck Shield團隊對一個未在交易所上線的以太坊寵物游戲CryptoBots進行了BatchOverFlow安全性攻擊,最終成功地在該協(xié)議上生成了CBTB代幣。

Peck Shield認為,因為以太坊區(qū)塊鏈上所謂“代碼即一切”的原則精神的存在,導致目前沒有有效的安全防護手段來修復這些問題,而且因為Token交易背后牽扯著巨大的利益,是無法在多個交易所進行同步防護的。因為中心化交易所只是對Token進行記賬式的交易,項目團隊與交易所配合之后回滾是可以一定程度上保護投資者利益的,但是如果在去中心化交易所進行交易那么投資者的損失將無法挽回,同時,利用交易所反應的時間差,黑客也可以實現(xiàn)在多個交易所套利。

在BEC事件中,在OKEx發(fā)現(xiàn)異常并停止OKEx交易前,按照轉(zhuǎn)入記錄,預計黑客已經(jīng)賣出了最少1100萬枚BEC,折合當時的價格約1887萬人民幣。 

前有BEC被攻擊,后有STM出現(xiàn)類似漏洞,ERC-20整數(shù)溢出漏洞猶如一枚定時炸彈,我們的數(shù)字資產(chǎn)將如何安放?

Variant-LWE加密方案可抵御量?計算機攻擊

與EOS主網(wǎng)上線差不多同期,另一個公有鏈項目Variant也將實現(xiàn)智能合約、POS、和AI挖礦算法的主網(wǎng)上線。

Variant全稱為Variant Network,是全球首個基于UTXO模型的分片(sharding)算法的公有鏈項目,是融合IPFS和AI的新一代智能合約區(qū)塊鏈3.0平臺。

Variant主攻方向為IPFS、AI、原子跨鏈,側(cè)鏈、閃電網(wǎng)絡(luò)、DAG、分片、Variant-LWE(Learning With Errors)加密算法等,以提高平臺的TPS速度和處理能力,以及可擴展性,實現(xiàn)鏈上鏈下的數(shù)據(jù)交互,團隊也研發(fā)如何較好地隱私保護機制和更符合現(xiàn)實的通證經(jīng)濟模型。

針對安全問題,Variant聯(lián)合創(chuàng)始人ARRONWANG博士此前在接受媒體采訪時指出,Variant擁有密碼學方面的人才,也會研究新的密碼學,推出新的密碼算法。

據(jù)悉,Variant的研究?員提出?種名為Variant-LWE的加密方案,來研究抵抗量?計算機的攻擊。Variant-LWE參考了后量?密碼(post-quantum cryptography)的協(xié)議基礎(chǔ),它被認為是能夠抵抗量?計算機攻擊的密碼體制,其計算安全性據(jù)信可以抵御當前已知任何形式的量?攻擊。

Variant擁有一支國際頂尖團隊,聯(lián)合創(chuàng)始人ARRONWANG是清華大學經(jīng)濟學博士、德國慕尼黑工業(yè)大學博士;聯(lián)合創(chuàng)始人ANDREWEARLS畢業(yè)于德國慕尼黑工業(yè)大學,精通C++,GO語言,主攻計算機科學,具有十幾種數(shù)字貨幣設(shè)計經(jīng)驗和互聯(lián)網(wǎng)金融開發(fā)經(jīng)驗。Variant核心成員還包括原量子的核心開發(fā)工程師,以太坊社區(qū)智能合約深度開發(fā)者,原lisk核心開發(fā)工程師,原惠普GO語言研究員,早期操作系統(tǒng)核心開發(fā)者,Azure早期設(shè)計者,原百度CMD,原MOI Global商務總監(jiān);顧問包括斯坦福大學和上海交通大學的教授等。

除了在安全漏洞方面的優(yōu)勢,Variant的算法顯著提高了交易吞吐量,Proof of AI共識算法賦予了區(qū)塊鏈機器學習的能力,智能合約虛擬機融合IPFS解決了大數(shù)據(jù)存儲的痛點。Variant致力于讓算力為社會產(chǎn)生真正的價值,不斷突破區(qū)塊鏈的能力邊界讓去中心化應用的落地成為可能。

據(jù)了解,Variant目前已對接多家交易所,即將實現(xiàn)智能合約、POS、和AI挖礦算法的主網(wǎng)上線,將在5月對全球用戶進行糖果空投。

Variant平臺在發(fā)行前將經(jīng)過一系列嚴格測試,其中包括軟件功能性測試、P2P網(wǎng)絡(luò)性能測試、潛在攻擊向量測試、可靠性測試,安全審計和代碼審核,Alpha版本測試,Bata版本測試,通過完善的軟件測試流程,來控制軟件質(zhì)量。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)文章

熱門排行

信息推薦