朋友们大家好,欢迎来到区块链安全周刊。
7月24日,在最后一周,FOMO 3D资助的磁盘游戏火遍了币圈,其开发者似乎有些“膨胀”,指出“我发现了一个被认为相当于EVM核弹的漏洞”。谁想以太基金会的Pter Szilgyi不仅反驳了这种说法,还在FOMO3D中暴露了一个漏洞,或者说逻辑漏洞。
根据多家安全厂商的分析,攻击者可以利用该漏洞,预先寻址教师,然后调用相关函数获取ETH,也就是通常所说的“薅羊毛”。严格来说,这并不是一个严重的安全问题。但由于FOMO 3D的流行,大量游戏抄袭其代码衍生出一些类似的游戏,让这种逻辑上的瑕疵“蔓延”,形成了区块链代码开源文化下特有的安全问题。
7月25日消息,币圈必备工具Etherscan.io近日遭遇黑客攻击。这件事对网站和用户本身没有实质伤害,只是展示了弹匣,弹出了“1337”的消息。据悉,这种情况主要发生在用户离开一些评论页面的时候。由于用户在Twitter上报告了这一问题,以太扫描官方也对有问题的评论页面进行了处理。
6 7月,与FOMO 3D的“空投漏洞”相比,在过去的一周里,各类FOMO 3D山寨游戏本身的恶意行为已经成为相关游戏参与者更大的安全威胁。
类似游戏《狼人游戏》的EOS版本被报道利用了普通用户对EOS权限机制的认知缺陷。代码中更新了用户账号的权限,出现了账号里的钱被提走的安全问题。
随后,同一个游戏被攻击,出现整数溢出问题,导致奖池中的金额变为负数,游戏停止运行。
不过,FOMO 3D的另一款山寨游戏《FOMO肖特》也爆出了权限问题。它的一些管理调用给了所有者太多的权限,尤其是转移权限。在这种情况下,机主有能力把红利池和用户没有转到自己钱包里的红利转移出去,也就是存在所谓“跑路”的可能。
从以上问题可以发现,虽然部分交易所提出了“花钱买”的智能合约审核要求。而区块链合约应用如FOMO 3D本身不发行硬币,不依赖交易所等本质上集中的方式发行和被监管,都是靠自己的机制设计流行起来的。在这种情况下,虽然其代码是开源的,但并没有进行相应的安全审计,大部分参与者也没有相应的技术能力来鉴别其安全级别,因此在不知情的情况下暴露于重大安全问题。
7月26日,连北景安综合报道,在集中交易所存在诸多问题的情况下,分散交易所被投资者寄予厚望,以解决交易所被攻击被盗、交易所内部操纵货币价格等问题。最近,去中心化交易所Wave在业务上取得了阶段性成功,日交易电子货币价值达到600万美元。然而,就在本周,该交易所也出现了安全问题,一次钓鱼攻击使用户有可能窃取他们的钱包助记符。目前安全漏洞已经解决,但也说明去中心化本身并不能解决交易所的安全问题。
7月26日,连北景安综合报道,正在进行的ICO项目KICKICO遭到黑客攻击,损失金额估计超过700万美元。这次攻击,问题还是出在智能合约本身的代码漏洞上。因为KICK在智能契约中为所有者的权限设置了许多特权函数,攻击者一旦获得了契约的控制权,就可以转移用户地址上的令牌。在这次攻击中,攻击者创建了40个虚假地址,然后将窃取的令牌转移到新地址。总共转移了7000万枚代币,在当时价值770万美元。
KICK项目方声称他们已经重新获得了合同的控制权,他们承诺将相应的令牌归还给其合法所有者。
从过去一周的安全事件来看,FOMO 3D普及下的安全问题非常突出。由于其开源代码,在抄袭模式下相应代码漏洞在更多项目中被快速复制的问题,相信在未来更多成功的项目中也会出现。本周,智能合约中给予特殊角色过多权限的问题,不仅使得类似合约存在“道德风险”,还可能成为被黑客利用的隐患。同时,这也给了区块链生态参与者一个新的思考:拥有权威特权的区块链项目真的是我们所希望的“去中心化”吗?
微信咨询
