اخترق هذه الأيام حلقة المال من الذعر.

أولا، 22 أبريل العسل العملة الامريكية (BEC) في نصف ساعة فقط، انخفضت من 0.32 $ إلى 0.024 $، وانخفاض 92.5. OKEx إعلان الطوارئ: BEC تعليق المعاملات والسحب، وإعادة فتح "إشعار آخر".

شائعات التجارة، والجرف OKEx ابنه BEC، بسبب وجود ضعف عقد تجاوز رمزية، يمكن للمهاجمين استغلال هذه الثغرة الأمنية نقل دفعة، غير محدود توليد الرموز.

هذا ما يعادل الضعف القراصنة ضد عملة، يمكنك امتلاك آلة صنع المال، وأعتقد أن كم الهند والهند. إذا لم توقف بشكل فعال "الكراث" الذين يشاهدون فقط أيديهم تخفيض قيمة العملة للا قيمة لها.

قبل الضغط المتبادل الله على الجميع، أبريل 25، SMT عملة أخرى هو أيضا مشابهة لتجاوز اطاحة.

وفقا للعملات النار إعلان برو، SmartMesh (SMT) المشروع من التغذية المرتدة 25 أبريل في الصباح وجدت مشاكل غير طبيعية من التداول، وبعد التحقيق الأولي، هناك ثغرات سمت ذكي عقد ساحة إيثرنت. تتأثر النار برو مع وقف التنفيذ حاليا كل تهمة العملات العملة ووضع النقود الأعمال.

خسارة لا يمكن تقدير

أولا، دعونا ننظر في في تجاوز.

عندما يكون الطفل لقد بدأنا للتو لمعرفة بالإضافة إلى ذلك، فإن العدد الإجمالي من مثل كسر إصبع، إذا كان أقل من 10، على سبيل المثال، عد 3 + 3 + 5 = 9 = 6،4، انطلاقة جيدة جدا، ويمكنك حساب بشكل صحيح.

يوم واحد، والمعلم السماح لهم فجأة حساب عدد يساوي 6 + 5، وهذه المرة الأصابع ليست كافية.

لذلك، فإن جميع الأطفال في بعد كسر إصبع، بعد أن يتم احتساب علامة على قدم المساواة 1 إجابة.

BEC وSMT الثغرات عقد الذكية، واجه هذه المشكلة أيضا.

BEC موجود في العقد batchTransfer نقل دفعة ضعف وظيفة ذكي، يمكن للمهاجم تمرير الكثير من القيمة القيمة، والقيمة القصوى لأكثر من المركز الوطني للاستشعار unit256 * قيمة بعد أن يفيض تؤدي إلى مبلغ 0.

هذه المرة واجه مشكلة SMT، فذلك لأن هناك مشكلة كلاسيكية من تجاوز عدد صحيح عقود ذكي وظيفة proxyTransfer.

_fee _value_ معلمات الإدخال اثنين ويمكن أن يسيطر عليها أحد المهاجمين، إذا كانت نتيجة _fee + _value بالضبط 0 (أي حالة تجاوز)، سيتم إلغاء تنشيط خط التفتيش الأولى 206.

وهذا يعني أن المهاجم لا تحتاج إلى أي من رمز، يمكن نقل كمية كبيرة من رمز (خط 214) إلى عنوان، ونفس الخط وفقا للقانون 217، ولكن أيضا قدرا كبيرا من الرسوم سيتم إرسالها إلى msg.sender.

في الرسالة يونغ، رئيس مختبر الصادق هارون OMG والسحر الينابيع ومدير الأبحاث في الرأي، على الرغم من أن المبادئ الأساسية وضعف BEC لا فرق، ولكن هذه المشقة SMT عانت أكثر خطورة.

أولا، قد فعلت المتسللين في الصباح الباكر من 25 من سلسلة من العمليات، بما في ذلك توليد العملة، ونقل وهلم جرا، والثاني هو SMT تداول العملة في النار، OKEx والعديد من البورصات الأخرى، وبالتالي فإن الوجه هو أكثر تعقيدا.

وبعبارة أخرى، فإن المشكلة التي واجهت BEC، وكأنك في أحد البنوك الأسود الناس المال لحسابك، وضعت للتو تم تحويل الأموال إلى عدة حسابات أخرى من نفس البنك، والمال على الرغم من أن تدفق، ولكن أيضا للبنك. المشكلة SMT صادف ان الاموال حولت بها، اتخذت بعيدا أو تستهلك، وليس للبنك، وأكثر صعوبة لاسترداد الأموال المسروقة.

هجوم BET وعانى أكبر الفرق هو أنه، SMT لديك لاستخدام غيرها من محفظة بدء تنفيذ السجل، من وجهة نظر عنوان محفظة تحولت في جزء كبير منه إلى معالجة بعض المعاملات، ولا يستبعد تم استبدال عملة أخرى ممكن.

سحر الينابيع أنه منذ الصرف التي ينطوي عليها هو كبير نسبيا، والحادث الذي وقع في الصباح، على عكس المرة الأخيرة BEC تحدث في معاملة غير عادية ظهرا تم إغلاق فورا، يمكن للقراصنة الاستفادة من الفارق الزمني بسرعة نقل قبل وجدت الصرف خسارة فادحة لذلك.

علاج حاليا أنه يمكن أن نفكر في، يتم إصدار العملة الأطراف وفقا لجميع السجلات نقل قبل المتسللين لقطة التشغيل، ومن ثم إنشاء لقطة جديدة عملة رمزية جديدة، وفقا للمبلغ من المال المقابلة لعناوين مختلفة لقطة إعادة إصدار النقود، وتدمير الحالي رمزية.

منذ نهاية SMT

وقال انه وفقا للمعلومات العامة، يبدأ SMT من قبل مؤسس وانغ Qiheng انها ستمنع سلسلة من خلال الربط وغير شبكة تكنولوجيا الاتصالات والهواتف المحمولة وغيرها من الأجهزة التي عقدة المشتركة، بناء اللامركزية، ومتوافق مع شبكة متداخلة ودون لند الشبكات الموزعة في كلتا الحالتين.

ذلك المستقبل حتى بدون واي فاي و4G، كما يمكن أن تكون مرتبطة مع بعضها البعض عن طريق الهاتف الخليوي أو أي جهاز آخر IOT نفسها.

الفكرة ليست سيئة، ولكنها بدأت في نشر ورقة بيضاء، ومرارا للاستجواب ذلك.

من الناحية المنطقية، وتطبيق اللامركزية لمتطلبات تصميم التطبيق ورمز صارمة جدا، وإلا يمكن للقراصنة بسهولة العثور على نقاط الضعف، مما أدى إلى خسائر.

ولكن النسخة الصينية من smartmesh رقة بيضاء يطلق سراحه قريبا، ويعرف تقريبا أصدقاء "bitkevin" الأخطاء المطبعية وجدت في القسم التمهيدي المهم، وسوف يكون بداية "بناء على" smartmesh مكتوبة "حريصة" smartmesh، وقال انه تم التحقيق معه في ذلك الوقت، والمستقبل هو الصعب أن نصدق أن هذا الفريق سيكون قادرا على القيام صارمة ودقيقة في طبقة حتى مستوى أمن الشبكات البروتوكول.

يكفي بالتأكيد، الوضع الحالي أيضا هو أن يكون القاضي "bitkevin" من.

لفهم أكثر عمقا للشركة، لى فنغ، بدأ رئيس تحرير لتحويل مجموعة من الصغير بو وانغ Qiheng بدوره مؤسس المدونات الصغيرة، كما لم تجعلني "بخيبة أمل"، ولكن أيضا الكثير من المواد، الصورة الأولى من الشمس وأوباما أكره أن نكون أصدقاء.

وعلق بعض مستخدمى الانترنت هذه المدونات الصغيرة:

أوباما لتعزيز ممارسة عيب، لا سلسلة كتلة أهم شيء هو خلق قيمة حقيقية، مع التقنيات والأفكار لتأييد بدلا من أقرتها المشاهير والمشاهير المناسبة فقط تظهر فقدت وحيدا، ترغب في الحصول بسرعة الاهتمام، وانغ Qiheng كقائد فريق، من المدونات الصغيرة لرؤية داخل الاغراء أوباما، فإنه يجعل الناس يحبون حقا سلسلة كتلة يشعرون بعدم الارتياح قليلا، لفهم الناس على فهم سلسلة كتلة سلسلة لجلب الناس الثروة الروحية ما هو عليه.

ولكن من الواضح ونغ لهذه ساخر ولا يهمني، تواصل "عرض" لدعوة الرئيس ترامب الولايات المتحدة.

بالنسبة لبعض قسم التعليقات التفاعلية لى فنغ، بدا محرر أيضا محرج للغاية ~ ~ ~

باختصار، الناس لديهم المال، والوقت، والرئيس صافح، ولكن هذا لم يرض التدقيق الأمني فارغة.

عقود ضعف الاستخبارات مثل قنبلة موقوتة

في الواقع، وهذا النوع من الشيء في حد ذاته يمكن تجنبها.

سحر الينابيع بصراحة، الآن الرموز تداول كبيرة، وكثير من النسخة التي تم إصدارها، فلا مناص من أن بعض الوعي ليست قوية، وقدرة غير مبرمج عالية سوف يرتكب مثل هذا الخطأ، بل هو سطر من التعليمات البرمجية، يمكنك السماح للقراصنة على التضخم الزناد، مما أدى إلى المشروع قد انتهكت مصالح مصدري والمشترين.

العديد من الشركات المبتدئة المال جعل الهدف الرئيسي هو الربح، وأراد لتبادل في أقرب وقت ممكن، لذلك سيتم الأمنية متخلفة، والسبب الرئيسي لهذه المشاكل هو أن المطورين القضايا مصادقة آمنة في عملية كتابة التعليمات البرمجية، وغيرها من نفسه عقود القانون وجود المحتمل لهذه الثغرات، BEC وSMT فقط مجرد بداية.

ومع ذلك، وعاء مبرمج مرة أخرى، تم العثور على شبكة لى فنغ أيضا لديهم وجهات نظر مختلفة.

وقال نائب المدير العام لشركة R & D المدونات الصغيرة تيم يانغ في حياتهم الفردية الصغرى بو صدر:

ينقل الأمنية الأخيرة ERC20، السبب المباشر لجميع الثغرات الأمنية كود، والعودة من وعاء مبرمج، ولكن قلة من الناس نسبيا مناقشة سبب أعمق لماذا ساحة إيثرنت أكثر عرضة للمشاكل الأمنية؟ DAPP الأثير ساحة مجرد نتيجة لتنفيذ سلسلة كتلة تسجيل، والتي لم يتم تشفير نفسها الفواتير المزدوجة نموذج utxo العملة المطلوبة. الرمز المميز هو من الأصول المهمة في حد ذاته يتطلب درجة من مستوى الأمان النقدي، والتصميم ساحة إيثرنت هو أكثر ملاءمة للحصول على العقد الحالي لتشغيل التكامل نتيجة المباراة وما شابه.

لذلك، شدد على أهمية الأصول رمزية ليست مناسبة للبناء على أساس نظام ERC20.

المشكلة فقط BEC وSMT ذلك؟ قد تكون المشكلة أكثر خطورة بكثير مما كان يتصور. أصدرت PeckShield شركة أمنية سلسلة كتلة تحذيرا من أن عقد ERC20 أكثر ذكاء عانى proxyOverflow الضعف الذي وضعه للكشف عن تتأثر عدد كبير من ERC20 رمز من هذا، بما في ذلك:

عقد مربع من خلال شبكة إيثرنت ذكي "إرسال الأموال" غير سهلة، ولكن إذا كنت لا تفعل التدقيق كود صارمة والحماية الأمنية، وفقدان مائة مليون من أموال فقط في هذه اللحظة، وهذه العقود لديها ضعف الذكي هو أشبه بقنبلة موقوتة، على حد سواء اليوم هو BEC، SMT، الذي سيكون بعد ذلك؟

المصدر المرجعي: بابيت

مقالات ذات صلة: BEC يتعرض ثغرات كبيرة في العقد ذكاء 60 مليار يوان تقول لا لا