美高梅4858mgm

图片 2
超出部分按新规征税,行邮税四档调三档
图片 7
曾想文明割韭菜,还我血汗钱

漏洞细节披露及修复方案,庄家收割韭菜

本文内容来源三点钟火讯财经创世群,如需转载,务必注明出处。

披露时间线

好,我提问的部分就到这里。接下来请另外一位阁主大象提问,也就是要从一本正经切换到轻松愉快模式了。双阁主的模式,嘉宾很辛苦,观众很嗨皮。

以太坊代币“假充值”漏洞影响面非常之广,影响对象至少包括:相关中心化交易所、中心化钱包、代币合约等。单代币合约,我们的不完全统计就有
3619
份存在“假充值”漏洞风险,其中不乏知名代币。相关项目方应尽快自查。由于这不仅仅是一个漏洞那么简单,这已经是真实在发生的攻击!出于影响,我们采取了负责任的披露过程,这次攻击事件的披露前后相关时间线大致如下:

阁主大于:第四问,您曾经说“这个社会不存在完美的去中心化,不存在乌托邦,去中心化+中心化才是区块链落地的真正未来。”您认为完全的去中心化不可能吗?去中心化+中心化指得是一种新的共识机制,还是一种治理机制?

Q:为什么说披露的不仅仅是漏洞,而是攻击?

上期阁主孙健开场称赞双阁主模式非常应景世界杯的主持模式,一个主攻一个助攻。在传统节目“阁主交接仪式”之后,话题正式打开,进入访谈环节。

Q:至少 3619 份存在“假充值”漏洞风险,这些代币该怎么办?

面对如此错综复杂的区块链安全形势,我们目前掌握的相对比较有效的应对方式有哪些?

A:我们有健壮的威胁情报网络,捕获到异常时,我们默认直觉会认为这是一种攻击。

群友刘韩:知道创宇、armors应该在行业都是比较领先的吧。

Q:为什么慢雾可捕获到这类攻击?

Q8

A:很纠结,一般来说,这些代币最好的方式是重发,然后新旧代币做好“映射”。因为这类代币如果不这样做,会像个“定时炸弹”,你不可能期望所有中心化交易所、中心化钱包等平台方都能做好安全对接,一旦没做好这个“假充值”漏洞的判断,那损失的可是这些平台方。而如果平台方损失严重,对整个市场来说必然也是一种损失。

嘉宾慢雾余弦:当大家关心币价的时候,也可以回过头来,琢磨琢磨这些问题。

图片 1image

阁主大象:我是一名观察者。

参考示例 TX:

嘉宾慢雾余弦:有句话:无知者无畏;其实,知者更无畏。

A:其实,以我们的风格,我们一般情况下是不会单纯去提漏洞,漏洞这东西,对我们来说太普通,拿漏洞来高调运作不是个好方式。而攻击不一样,攻击是已经发生的,我们必须与攻击者赛跑。披露是一门艺术,没什么是完美的,我们只能尽力做到最好,让这个生态有安全感。

嘉宾慢雾余弦:比如,我们在我们官网开放了我们安全审计的一些做法,还有不少,我们都会陆续更新。

emit Transfer(from, to, value); // value 等参数可以任意定义

火讯财经创始人龙典:最近看了一个电影:《我是谁:没有绝对安全的系统》感觉黑客特别厉害。

当不满足条件时会直接抛出异常,中断合约后续指令的执行,或者也可以使用 EIP
20 推荐的 if/else + revert/throw 函数组合机制来显现抛出异常,如图:

嘉宾慢雾余弦:啊,好问题。

漏洞细节

比如这个 #预警#
新型攻击手法披露:以太坊黑色情人节事件里已经出现的隐蔽攻击方式!

图片 2image

慢雾安全团队,这是由一支拥有十多年一线网络安全攻防实战的安全成员创建,团队曾为
Google、微软、W3C、公安部、腾讯、阿里、百度等输出过安全能力,团队多项成果也曾进入过
Black Hat
等全球黑客大会。慢雾安全团队已经与全球多家知名交易所、数字资产钱包、主链项目合作,为合作伙伴提供安全审计、安全顾问、防御部署及威胁情报分享。

Q:为什么我们采取这种披露方式?

这样的挖矿收益高呀,更好的蠕虫还会合理利用服务器资源,让你还不一定发现得了。好了
先科普这点。

本文引自慢雾区公众号文章”以太坊代币“假充值”漏洞细节披露及修复方案”

阁主大于:能不能把区块链本身的安全缺陷再讲一讲。虽然我想很多朋友可能有所理解,但是理解的有很有可能有偏差,或者不到位。

A:我们不会做点名披露的事。

里面对安全的分类有:

A:恐怕没人会公开提,我们也不会点名。

Q6

A:也许可以,但不完美。不选择重发的代币要么很快是发布主网就做“映射”的,要么得做好通知所有对接该代币的平台方的持续性工作。

但是呢……其实我们是乐观的,有时候安全这东西也没那么夸张,一个生态之所以是生态,就具备生态的一个属性:自愈能力其实很强……

A:本质是与攻击者赛跑,但是这个生态太大,我们的力量不可能覆盖全面,只能尽我们所能去覆盖,比如我们第一时间通知了我们的客户,然后是慢雾区伙伴的客户,再然后是关注这个生态的安全同行的客户,最终不得不披露出细节。

阁主大于:我觉得以后真的有必要搞一些通俗易懂的区块链安全科普材料,至少让大家有基本的认识,才能达成共识。

Q:这些代币不重发是否可以?

其实我们发现不少隐秘攻击,有些还不是时候披露,我们一般是先通知合作方,修复后,再想办法合理披露。

图片 3image

比起传统的攻防来说,区块链生态会有自己的特别点,比如币属性,自带金融属性,攻击者有时候不一定要盗走这个币,想办法做空做多就好。

作为平台方,在对接新上线的代币合约之前,应该做好严格的安全审计,这种安全审计必须强制代币合约方执行最佳安全实践。

是的,安全问题已经不再是某一个参与者单独的问题,而是要从整体生态层次予以考虑,好,那我们下面进入正式的访谈。

后记 Q&A

嘉宾慢雾余弦:嗯,愿景我用一张图文来说,这就是慢雾的愿景,比较低调。

作为代币合约方,在编码上,应该严格执行最佳安全实践,并请第三方职业安全审计机构完成严谨完备的安全审计。

嘉宾慢雾余弦:这里的蠕虫修补了相关漏洞入口,杀掉了蠕虫对手,安全加固了相关机制,然后它仅挖矿……不少企业入侵事件的发现不是因为发现蠕虫,而是发现服务器或主机卡了……这些蠕虫挖的主要就是门罗。

A:暂时不做披露,但相信我们,“假充值”漏洞已经成为区块链生态里不可忽视的一种漏洞类型。这是慢雾安全团队在漏洞与攻击发现史上非常重要的一笔。

阁主大于:能再具体解释一下吗?

Q:除了 USDT、以太坊代币存在“假充值”漏洞风险,还有其他什么链也存在?

嘉宾慢雾余弦:好问题。非议多得很,比如前面说的以太坊黑色情人节事件,我们披露后,有人就留言我:你们盗了不少币了吧?披露是不是想混淆视听?你们为什么不盗币,披露干什么…

除了判断交易事务 success 之外,还应二次判断充值钱包地址的 balance
是否准确的增加。其实这个二次判断可以通过 Event
事件日志来进行,很多中心化交易所、钱包等服务平台会通过 Event
事件日志来获取转账额度,以此判断转账的准确性。但这里就需要特别注意合约作恶情况,因为
Event 是可以任意编写的,不是强制默认不可篡改的选项:

当时我朋友圈发了段文字:我们一般不披露那些还没出现攻击事件的情报。比如单纯漏洞这玩意,挤挤总会有的,多重磅都可以搞个出来,没什么好说,但只要是事件,就代表已经发生,披露我们尽最大努力走负责任路线。我们在给甲方做安全时,会全面带入我们的情报网络,这种价值,似乎还不好量化,但懂的人,会很感激我们。

图片 4

嘉宾慢雾余弦:关于 USDT
“虚假充值”的事件,目前许多交易所也都发了公告声明说不存在该问题了,存在该问题的交易所也都获取了情报在第一时间修复了,目前应该已经不存在此问题了。

两本好书:《自私的基因》,《乌合之众》。

我们很难要求所有程序员都能写出最佳安全实践的代码,这种不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,如果交易所仅判断如
TxReceipt Status 是 success(即上文提的 status 为 0x1 的情况)
就以为充币成功,就可能存在“假充值”漏洞。如图:

图片 5

修复方案

Q2

2018/6/28 慢雾区情报,USDT “假充值”漏洞攻击事件披露

2018/7/1 慢雾安全团队开始分析知名公链是否存在类似问题

2018/7/7 慢雾安全团队捕获并确认以太坊相关代币“假充值”漏洞攻击事件

2018/7/8 慢雾安全团队分析此次影响可能会大于 USDT
“假充值”漏洞攻击事件,并迅速通知相关客户及慢雾区伙伴

2018/7/9 慢雾区对外发出第一次预警

2018/7/10 慢雾安全团队把细节同步给至少 10 家区块链生态安全同行

2018/7/11 细节报告正式公开

阁主大于:
大家晚上好,欢迎收看火讯琅琊榜第三期在线访谈节目,我是于佳宁(也就是大于),很荣幸能担任本期琅琊榜阁主(之一)。特别欢迎本期琅琊榜首次受访嘉宾——慢雾安全团队。

Q:有哪些知名代币存在“假充值”漏洞?

嘉宾慢雾余弦:得罪人。

以太坊代币交易回执中 status 字段是 0x1 还是
0x0,取决于交易事务执行过程中是否抛出了异常(比如使用了
require/assert/revert/throw 等机制)。当用户调用代币合约的 transfer
函数进行转账时,如果 transfer 函数正常运行未抛出异常,该交易的 status
即是 0x1。

阁主大象:这是科普……

如图代码,某些代币合约的 transfer
函数对转账发起人(msg.sender)的余额检查用的是 if 判断方式,当
balances[msg.sender] < _value 时进入 else 逻辑部分并 return
false,最终没有抛出异常,我们认为仅 if/else 这种温和的判断方式在
transfer 这类敏感函数场景中是一种不严谨的编码方式。而大多数代币合约的
transfer 函数会采用 require/assert 方式,如图:

阁主大象:刚才我问了第八问,再追问一句,号称是可以追溯来源的加密货币真的没有办法将这些“赃款”锁定吗?

Q:有哪些交易所、钱包遭受过“假充值”漏洞的攻击?

阁主大于:第三个问题,历来人们都对拥有超能力的人有更多的质疑,能力越强责任越大,在区块链世界,慢雾科技其实上可以认为是有“超能力”的公司,我想知道,你们是如何约束自身的“超能力”的?有哪些不可违背的行事原则?除了观念和文化上的约束,慢雾科技对内部成员有怎样的实质性约束?

图片 6image

阁主大于:这还真是一个令人惊诧的问题。

嘉宾慢雾余弦:偶尔,我之前反驳过一个人:你对力量一无所知。这也是我们常说的:上帝视角。凡事都得看具体场景。

这些人是没意识到:其实地下黑客正规军早进来了,我们的进来也确实是时候,攻防对抗必然会升级。都说币圈一天、人间一年,我们的攻防对抗当然也是这样,会越来越激烈,直到一种平衡。

阁主大于:影响范围如此广泛,数额如此巨大,居然还能持续如此长的时间,可见攻防对抗确实在相当长一段时间内处于失衡状态,黑客的攻击居然这么久都没有被监测发现,这在网络安全领域也是难以想象的。

群友:请问,现在交易所那么多 如何看待越来越多的新交易所
至少安全角度而言,会不会只是个空架子?

以下为访谈实录整理

以太坊黑色情人节专题页我发两个截图

然后还有不少已经披露的案例可以供参考,拿到赏金不是件难事。这是我们看到知名公链以太坊这个区块链本身的安全缺陷类型。供参考,细节可以回头细聊。

这个生态才刚开始热闹,就天天喊打喊杀的,任何事业想做好都需要有个马拉松心态。

图片 7

嘉宾慢雾余弦:不,纯洁这个词不适合我们。

阁主大于:哈哈,有点感受到安全问题的本质了。

阁主大于:很深刻,这些都是很宝贵的资料哎,之后我们还要仔细研究和学习。

但是你得守正,价值观一致,还得敬畏法律,敬畏规则。

大象,不愿意透露身份的火讯财经联合创始人、游离于圈内圈外,不明真相的吃瓜群众、偶尔也明真相的区块链路人甲。

嘉宾慢雾余弦:不一定,比如智能合约代币如果加了锁机制,那可以,但这样你们不觉得很可怕?项目方权限也太大了吧?

大于、大象×慢雾团队

嘉宾慢雾余弦:受损后会恢复,生态的容错性就是这样。安全这东西,到头来还是人,人这个物种就是诡辩、聪明、进化。感觉这部分细节很难在这展开。

阁主大象:刚才有讲到要去神秘化,我们知道暗网是最神秘的组织,匿名交易者在这上面交易毒品、假身份证、火药还有黑客软件等被法律禁止的物品。
人们通过加密的隐身软件才能进入这个普通搜索引擎不能发现的空间,一切交易都通过执法人员监管不到的虚拟货币隐秘进行。可以给大家科普一下,你们所认识的暗网吗?

嘉宾慢雾余弦:如果想了解慢雾更多内容,可以后续看我们的官网。慢雾只想做好一件事:区块链生态安全。强调“生态”这个词,是因为我们觉得这里面角色很多,安全是环环相扣,甚至唇亡齿寒。

这里,别偷懒,回头认真看。

阁主大于:精辟!基本有些感觉了。

嘉宾慢雾余弦:确实术业有专攻,有门槛。

阁主大象:第十一问,这是我的个人爱好,以权谋私一下。我也很喜欢看《三体》,对水滴印象很深,水滴既是监视者又是攻击者,让人细思极恐。在区块链的发展中存在这样的角色么?

未来可期。我建议大家搞好自家安全时,也多促进整个生态的安全感,这方面需要一些共识。比如:1.
不夸大恐吓式宣传;2.
不拿安全当黑公关能力去踩对手。大家共同努力吧,也欢迎监督我们。谢谢,我准备吃小龙虾去了……

嘉宾慢雾余弦:一般的区块链从业者,保持空杯心态吧,至少能保护好自己的私钥。

嘉宾慢雾余弦:安全角度,我们觉得这个生态没谁是漂亮的。但是,相对优质的是有的。而且我们也发现,其实普遍来说,区块链生态里大家已经把安全当成必选项了。

阁主大于:其实如果让我来想的话,好像也没有比“守正出奇”更加合适的词了。

Q3

我一直给团队共识我们的红线,我们在招人时尤其注意这个,价值观是第一需要考虑的,然后才是其他。还有,我们也和公安相关部门有合作,在自我约束这方面,我们非常严肃。

嘉宾慢雾余弦:谢谢。

阁主大象:EOS主网上线前夕,360安全团队公布了EOS的“史诗级”安全漏洞,我们当然相信360团队认真负责地公布漏洞的态度。但是部分EOS支持者却认为360做空EOS,周鸿祎借势入局。我想请问余弦先生,作为一个拥有“超能力”的黑客,一个“守正出奇”的黑客,在区块链行业从事安全工作遭遇过哪些非议?其中您最不能容忍的指责是什么?

你还记得关于以太坊黑色情人事件、USDT“虚假充值”事件、日本CoinCheck交易所被盗事件吗?好奇最新进展吗?关心区块链企业的安全问题吗?

阁主大于:白帽这个概念已经越来越深入人心了。

阁主大象:对,我们的目标是没有蛀牙,开始吧。

阁主大象:这就是两难悖论。

群友:能承受这么大的DDOS攻击和数据量吗,竞争对手恶意攻击让这个生态更混乱了还是清楚劣质交易所呢?

阁主大象:讲讲嘛,不要吊大家胃口……

嘉宾慢雾余弦:暗网其实是个很泛的概念,里面有太多大大小小的组织或个人,霍炬这篇科普文章:写得很好,推荐之后看看。

群友币圈小吴:问题以后越来越多。那么实际上,中心化也未必是坏事。

嘉宾慢雾余弦:好吧,想不到。

区块链并没什么特别,就好像我一直说黑客没什么特别。我想表达的是:我们不必过于强调。对了,别忘了:区块链可不仅仅是技术,还有经济和政治。

不必过于强调区块链技术,恰如神秘的黑客“自带奇”。因为这个这个世界不存在乌托邦,没有完美的去中心化。

一次次颠覆许多人的认知。这个过程挺有趣的,就像破案,抽丝剥茧……但是你们知道,不是什么都可以立马公开谈,因为即使我们看看本群500人,有攻击者吗?你们觉得?你们回头加我微信,你又能知道我就是我?

阁主大于:第一个问题,区块链的核心是解决信任问题,而安全事件却一次次打击人们的信任,尤其是智能合约安全漏洞带来的巨额损失。目前区块链行业总体安全态势是怎样的?

前言

我们没什么不能容忍的,因为我们深刻明白这个世界就是如此;-)

阁主大象:哈哈哈,宽恕。

嘉宾慢雾余弦:没什么问题是一顿小龙虾解决不了的,如果有,那就两顿。

本期嘉宾慢雾团队自称是一支慢格调的安全团队。“慢雾”这个词取自《三体》,寓意黑暗森林里的安全区域。那么究竟信仰“守正出奇”的慢雾赋予星星以安全?还是赋予观者以能力?或者是维护宇宙的基本平衡呢?

阁主大于:在区块链世界里,意识、共识永远是很重要的。

Q10

嘉宾慢雾余弦:区块链生态安全发生危险最严重的就是团队资金破产及信誉破产。

我也总说:守正出奇。比如,黑客这个身份,自带奇……

在这个夜黑风高的夜晚,神秘的黑客先生会展现怎样的一种“超能力”呢?

有时候深入挖掘会发现这比魔法还魔法,难怪黑客容易被神秘化。

相关文章

No Comments, Be The First!
近期评论
    功能
    网站地图xml地图