雷锋网消息,6 月 15 日,据微信公众号“ ArmorsLabs ”称,ArmorsLabs 最近发现并命名了“jaeden”漏洞,该漏洞是迄今为止 ERC20 涉及面最广的整体性漏洞。
我们来看看“ ArmorsLabs ”给出的分析详情:
ArmorsLabs 的智能合约扫描系统(IDS) 在分析了以太坊上超过 10000 份 ERC20 智能合约后发现,ERC20 标准的 approve 方法存在巨大安全漏洞,会导致代币出现被向量攻击的风险。Armors 称,其团队经过市场统计发现,目前已上交易所的数字货币中至少有超过 60% 的币种,在智能合约中使用了存在该漏洞的代码。
Approve 和 transferFrom 在历史上是为了 Decentralized Exchange 设计的,用户可以通过 approve函数授权第三方帐户为其管理指定额度的代币。
以太坊官方ERC20 Demo中,approve函数的代码存在向量攻击漏洞。简单描述下就是甲方授权乙方管理自己的数字货币,如果甲方想更改乙方的权限,乙方可以提前转走被授权的货币,然后还可以再一次收取新授权的货币,从而致使甲方多次转账,造成数字财产的损失。
这种授权方式在去中心化交易所、第三方支付和量化基金管理上,被大范围使用。
在数字货币世界里,在没有现实等价物、线下交易契约和法律约束的情况下,智能合约就是法律——Code is Law!当Code 出问题时,也就是 Law出了问题,转账欺诈可能带来的这个风险则根本无法回滚,一经生效不可变更!这种有漏洞授权机制会带来价值几十亿甚至几百亿美元的数字资产存在安全危机。
该漏洞作为以太坊标准导致的重大安全隐患,已经被Armors命名为“jaeden”,并且已经提交到cve平台,Armors及其他一些世界领先的安全合约代码库已经提供了解决此问题的安全代码。但是,Armors发现一些刚上线的币,还存在此种漏洞。除此漏洞外,Armors漏洞分析师还发现了更多其他漏洞,比如:
该合约没有对零地址转账进行拦截,引起的后果是:一旦有恶意庄家试图进行控盘,将大量代币打入零地址,即可造成该代币经济体系紊乱。
雷锋网了解到,Armors 区块链安全实验室成立于 2017 年 7 月,是DKB FUND基金首批孵化的项目。Armors Labs 是一个智能合约全生态实验室,创始技术团队由360核心安全小组成员及百度、腾讯架构师级别程序员组成。
不久前,Armors 获得1000万元战略融资,投资方为由清华大学五道口金融学院GFD校友发起成立的区块链投资基金——DKB FUND基金。
雷锋网注:该文主要分析内容转载自 ArmorsLabs。