作者:MetaTrustLabs
Web3安全服务提供商MetaTrustLabs最近完成的一项研究发现了以太坊智能合约中自定义函数修饰符存在的重大安全风险。在题为“Beyond'Protected'and'Private':AnEmpiricalSecurityAnalysisofCustomFunctionModifiersinSmartContracts”的ISSTA'23论文中,研究团队检查了超过62,000个智能合约,发现有411个包含可以绕过修饰符的易受攻击合约。为了解决这些问题,MetaTrust已将新开发的工具SoMo集成到其知名的智能合约安全扫描服务MetaScan中。
Ransomwhere正在跟踪总额超过 5750 万美元的加密货币付款赎金:一位前美国政府网络安全研究员推出了一个众包勒索软件支付跟踪网站,可用于追踪以比特币加密货币支付给犯罪分子的赎金,该网站名为Ransomwhere。Ransomwhere 正在发布有关支付给犯罪分子的金额以及他们使用的比特币地址的数据,目前,该网站正在跟踪总额超过 5750 万美元的付款。(iTnews)[2021/7/9 0:38:48]
这项研究的主要目的是识别不安全的修饰符,即“可绕过修饰符”,这些修饰符可以在一个或多个未受保护的智能合约函数中绕过。例如,以下“onlyOwner”修饰符可以通过调用公共函数Mining24()来绕过。因此,攻击者可以利用受onlyOwner修饰符保护的敏感函数。
分析 | 大零币Zcash预计将于明日6时进行名为Blossom的硬分叉:大零币Zcash将于区块高度653600进行名为Blossom的硬分叉升级。据Tokenview数据分析,按照当前出块时间150s计算,预计硬分叉时间为12月12日06:08。此次升级后,Zcash的出块间隔将会缩短,网络的交易处理能力将会提升,同时仍将手续费保持在较低的水平。[2019/12/11]
为了识别这些漏洞,研究人员开发了一种新的工具SoMo,它构建修饰符依赖图以涵盖所有与修饰符相关的控制/数据流,在MDG上生成符号路径约束,并迭代测试每个候选入口函数。结果表明,SoMo在分析大型数据集中的62464个合约时的精度达91.2%。
动态 | Zcash发布修补程序版本2.0.7-2 修复相关问题以支持Blossom升级:据官方消息,Zcash发布2.0.7-2版本,该版本为2.0.7-1之后的修补程序版本。由于在Zcash进行Blossom升级之前,用户需要升级到2.0.7版本,而很多用户节点由于时间问题暂未升级,或导致其处于错误的链上。为应对该问题,2.0.7-2版本为Zcash测试网添加了“预期倒带”(intended rewind),目的是防止节点在重新连接到正确的链时必须手动重新索引;同时还修复了与Insight Explorer相关的日志记录问题。需要注意的是,2.0.7-2版本与2.0.7版本一样,都将于2019年12月10日暂停支持(失效),与此同时下一个版本v2.1.0将支持Blossom升级,预计升级时间为2019年12月11日。[2019/9/5]
这项研究还揭示了修饰符在现实场景中的主要用途,包括访问控制、与金融相关的、合约状态和杂项检查,如下表所示。这些发现表明,开发人员常常利用修饰符进行安全敏感操作,但它们可能未得到很好的保护。
总体而言,要确保区块链技术安全可靠,还有许多工作要做。通过使用更好的编程技术和测试工具,我们可以帮助防止对智能合约的攻击,并保护我们的数字交易安全。随着更多企业和组织采用区块链技术进行各种应用,确保智能合约安全可靠至关重要。这项研究是实现这一目标的重要一步。
尽管区块链技术有望彻底改变许多行业,但安全性应该始终是最优先考虑的因素。通过使用像MetaScan这样的工具和遵循安全编程的最佳实践,我们可以帮助确保区块链上我们的数字交易安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。