1. 链一财经首页
  2. 资讯

ERC20漏洞:会导致Token出现被向量攻击的风险

来源:Armors

最近区块链的世界,除了层出不穷的大佬撕逼以外,最为受人关注的就是安全问题了。当前数字货币市场上,超过90%智能合约使用ERC20标准,毫无疑问,ERC20标准已经成为了各种交易所、钱包以及项目方共同遵循的规范。ArmorsLabs 的智能合约扫描系统(IDS) 在分析了以太坊上超过10000份ERC20智能合约后发现,ERC20标准的approve方法存在巨大安全漏洞,会导致Token出现被向量攻击的风险。Armors团队经过市场统计发现,目前已上交易所的数字货币中至少有超过60%的币种,在智能合约中使用了存在该漏洞的代码。

Armors团队自2017年10月以来,一直致力于智能合约的生态建设及漏洞分析。下面我们给大家公布ArmorsLabs最近发现并命名的“jaeden”漏洞。该漏洞是迄今为止ERC20涉及面最广的整体性漏洞。下面我们来给大家分析下该漏洞。

 ERC20提到的标准接口:

 

图片 1.png

 

Approve和transferFrom在历史上是为了Decentralized Exchange 设计的。

用户可以通过approve函数授权第三方帐户为其管理指定额度的Token。

2.png

 以太坊官方ERC20 Demo中,approve函数的代码存在向量攻击漏洞。简单描述下就是甲方授权乙方管理自己的数字货币,如果甲方想更改乙方的权限,乙方可以提前转走被授权的货币,然后还可以再一次收取新授权的货币,从而致使甲方多次转账,造成数字财产的损失。

这种授权方式在去中心化交易所、第三方支付和量化基金管理上,被大范围使用。

在数字货币世界里,在没有现实等价物、线下交易契约和法律约束的情况下,智能合约就是法律——Code is Law!当Code 出问题时,也就是Law出了问题,转账欺诈可能带来的这个风险则根本无法回滚,一经生效不可变更!这种有漏洞授权机制会带来价值几十亿甚至几百亿美元的数字资产存在安全危机。

该漏洞作为以太坊标准导致的重大安全隐患,已经被Armors命名为“jaeden”,并且已经提交到cve平台,Armors及其他一些世界领先的安全合约代码库已经提供了解决此问题的安全代码。但是,Armors发现一些刚上线的币,还存在此种漏洞。除此漏洞外,Armors漏洞分析师还发现了更多其他漏洞,比如:

3.png

4.png

该合约没有对零地址转账进行拦截,引起的后果是:一旦有恶意庄家试图进行控盘,将大量Token打入零地址,即可造成该Token经济体系紊乱。

ArmorsLabs从为每一位数字货币投资者负责的角度出发,建议各交易所及项目方引入更多更有经验的审计合作伙伴,重新review自己的智能合约代码。一旦发现问题,及早寻求解决方案,以免造成不可挽回的损失。更多相关问题Armors会持续跟踪,将会第一时间更新在Armors官方平台。


文章声明:本文为火星财经专栏作者作品,版权归作者所有,不代表火星财经观点。

根据国家《关于防范代币发行融资风险的公告》,大家应警惕代币发行融资与交易的风险隐患。

本文来自LIANYI转载,不代表链一财经立场,转载请联系原作者。

发表评论

登录后才能评论

联系我们

微信:kkyves

邮件:kefu@lianyi.com

时间:7x24,节假日bu休息

QR code