您现在的位置:新闻首页>长坊新闻

前360首席科学家、PeckShield创始人兼CEO蒋旭宪:以

2018-07-10 16:56编辑:gdxmjs.com人气:


金色财经-以太坊6月4日消息 2018年6月3日,以太坊技术及应用大会于北京举办。本次大会由CSDN和灵钛科技主办,金色财经等单位协办。以太坊创始人、核心技术开发者、海内外知名项目负责人、行业领军人物及以太坊生态精英专家将齐聚于此,共同助力中国以太坊技术深度交流和社区发展。

前360首席科学家、PeckShield创始人兼CEO蒋旭宪进行以《Code Is Law:以太坊智能合约面临的威胁与挑战》为题的演讲。以下是演讲实录。

前360首席科学家、PeckShield创始人兼CEO蒋旭宪

(前360首席科学家、PeckShield创始人兼CEO蒋旭宪)

感谢主办方,让我荣幸参加这个社区活动,有机会与大家分享我们团队最近做的,关于以太坊智能合约面临的威胁和挑战的话题。

第一部分,简单介绍以太坊当前生态现状。第二部分,讨论制约合约的安全问题。第三部分,下一步思考。

一、以太坊生态现状

上周引用网站做的分析报告:2017年部署上线了这几个正规的超过1000多个多中心化的应用,同时上线了超过700多个在各个不同交易所可以交易的代币。

这个生态确实很有吸引力,平均每天有10万的新用户加入以太坊生态圈,加入的用户非常活跃,平均每天在以太坊上的日均交易超过100万次,这是个非常惊人的数据,也说明社区非常有活力。这么有活力的社区也解释了为什么现在数字加密货币的市场如此火暴。

这个贴图引用了国外自媒体 网站CoinMarketCap,统计1640个虚拟货币 的市场规模,超过了市值3300亿美元,与国民生产总值比较的话,当前市场规模已经在全球排名第28位。这个市场规模很大的一部分原因是得益于以太坊部署,特别是以太坊独特 的应用ICO。代币发行是以太坊上非常大的应用。

二、智能合约的问题

每个发行的币都会在以太坊上部署一个智能合约 ,智能合约管控代币的发行和相互之间的转化。这里我列出从2015年8月份到最近一个月的数据,这个数据表明每个月新部署的智能合约 数据,大家可以看看以太坊的火爆时间段跟这个是否吻合。蒋涛分享到它最火爆的时候、中国开发者加入的时候是2017年的下半年,跟智能合约的部署是吻合的。智能合约部署是2017年5月份开始获得了长足增长,增长的数据在2017年9月份开始下滑,但2017年10月份数据又得到长足增长,然后慢慢稳定下来,到2018年的4月份数据慢慢降落了。大家能够猜到2017年9月份发生了什么事件,国家政策监管原因,对以太坊的智能合约部署或代币发行起到相当大的作用。

这个发展背后伴随 着我们不想看到的安全事件,这些安全事件在区块链的各个环节,包括:交易所、矿池、钱包、智能合约 。关于交易所,今年年初3月份交易所被攻击的事件;关于矿池, 魔域私服,在上个月早到了51%算力的攻击,引起了“双花现象”;关于钱包,2018年4月份全球最大基于网页的数字钱包的域名被劫持;关于智能合约 ,以太坊最明显的攻击,2018年4月份公布了关于美链智能合约漏洞等,2018年5月份陆续报了智能合约 漏洞 。

已公开的漏洞直接影响各大交易所停止了代币发行的充值或取现,目前还有不少未公开的漏洞 ,我们会联系相关的项目方和相关交易所,逐步与他们验证相关的数据。因为这个是开发者社区,接下来我们会挑两个例子,跟大家分享一下漏洞的原理,大家以后再做项目开发时,就能够避免相关问题:

第一个漏洞 ,关于transferFlaw,这是大家理解的偷币漏洞 。如果用户有一个代币,背后对应的智能合约有安全漏洞 ,攻击者可以把这些代币从你的钱包里全部转走。这里列出了有漏洞的transferFlaw,transferFlaw里面有三个参数,这是交易的数值,代码49-51做初步的检查,确保这个参数是有效的, 魔域私服,但在代码53行和54行计算了转出方本身有的余额保存在fromBalance,同时统计了这次允许转出的额度,根据计算出来的变量,在代码行56行和57行,跟当前交易的数值做比较,然后计算两个条件判断,是否本次交易转出方有足够的帐户余额允许做交易,转出方是不是有足够的授权做交易。

大家要关注一下代码行58行,简单验证一下如果把这部分钱或者代币转入转入方,转入方的余额会不会造成溢出。这三个条件加起来就是代码行满足条件下授权这次交易。大家能够意识到代码行里的判断条件,特别是在56行,如果判断交易的转出方有足够余额时,后面的fromBalance不是小于等于value,应该是大于等于value,57行应该是也大于等于value,58行也不应该是大于,而应该是小于。

(来源:长坊新闻网)

织梦二维码生成器
已推荐
0
  • 凡本网注明"来源:的所有作品,版权均属于中,转载请必须注明中,http://www.gdxmjs.com。违反者本网将追究相关法律责任。
  • 本网转载并注明自其它来源的作品,目的在于传递更多信息,并不代表本网赞同其观点或证实其内容的真实性,不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时,必须保留本网注明的作品来源,并自负版权等法律责任。
  • 如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,否则视为放弃相关权利。






图说新闻

更多>>