我敢肯定每个人都听说过有关DAO被一个黑客利用递归以太坊发送漏洞截获1.5亿美元的重大新闻。
摘要:随着智能合约飞速发展,越来越多的项目基于以太坊发行token,链上资产的类别和规模呈指数级增长,“虚拟世界”中的数字资产也点燃了黑客们的“热情”。以太坊区块链被认为是区块链的2.0时代,各种各样新的数字资产都基于以太坊发行早期代币甚至实现部分功能,虽然国外区块链社区甚至认为以太坊体量变得太大,已经不可轻易战胜,但以太坊也是数字货币历史上产生最多安全问题的币种,从2016年的The DAO事件,到最近的BEC,EDU,SMT的安全漏洞,以太坊的智能合约可以说充满安全漏洞。大多数的代币都在自己主网上线前使用以太坊代币,作为投资者,为了自身资产的安全着想,熟悉智能合约的漏洞概念变得尤为重要。
引子:至道问学之有知无行,分温故为存心,知新为致知,而敦厚为存心,崇礼为致知,此皆百密一疏。—— 清·魏源《庸易通义》
2016年6月,以太坊平台上发生了第一起重大网络犯罪。攻击者利用“The DAO”(区块链业界最大的众筹项目)的智能合约中的一个bug盗取了1.5亿美元投资中的7400万美元。今年,以太坊已经在ICO(初始货币发行)上投入了16亿美元,然而网络犯罪分子盗取了超过1.5亿美元。这意味着犯罪分子手中持有10%的以太坊股份。Chainalysis公司分析得出,在以太坊平台上因网络犯罪导致了大约3万的受害者并且每人平均损失高达7,500美元。
为了解决The DAO大量资金被盗的问题,尽管争议颇多,以太坊官方还是推出了针对The DAO的软分叉(soft fork)版本Geth v1.4.8,该版本增加了一些规则以锁定黑客控制的以太币,以便有更多时间留给社区去解决The DAO的问题。在六月底的数据显示,绝大多数矿工都升级了这个版本的软件,眼看着软分叉就要大功告成了。
以太坊是一个基于区块链的开源平台,支持智能合约。以太坊平台生成的加密货币以太币是目前市值第二高的加密货币。
在2021年,随着区块链、元宇宙等概念的大火,另一个衍生出来的名词—DAO 也广受人们关注。所谓DAO ,简单来说,是基于区块链技术,形成的一种有别于当前公司制度的全新去中心化社区组织,是元宇宙中的基本组织形式。
在Web2.0的世界,我们的应用都是中心化的,不论是采用B/S架构还是C/S架构,数据的交互一般都是前端+后端,前端一般指的是面向用户页面,比如网页、移动端等,后端指的是提供数据以及逻辑处理业务端,数据的来源是严重依赖后端服务的,如果中心化的服务器宕机或后端代码有漏洞,则是相当危险的,大部分公司虽然会考虑到这一类的安全问题,通过各种手段避免事件的发生,但是无法从根源上避免,更别提有人故意写漏洞了。
DAO: decentralized autonomy organization 通用概念,去中心化的自治组织。
智能合约的安全是区块链安全中的热议话题,但其实 89% 的智能合约都存在漏洞,本文将浅谈以太坊智能合约出现过的一些安全漏洞。
合约通常要处理 ether,经常会转移 ether 到各种外部用户地址。这些操作需要合约提交外部调用。这些外部调用可能被攻击者劫持,从而强制合约执行进一步的代码(通过 fallback 函数),包括调用自己。
虽然仍然处于起步阶段,但 Solidity 已被广泛采用,成为事实上的智能合约标准,新的区块链项目不少都兼容了 Solidity 语言, Solidity 已经用于编写了大量的以太坊智能合约。由于语言和EVM的细微差别,开发人员和用户都体会到了许多深刻的经验教训。本文目的是作为相对深入和最新的介绍性文章,详细阐述 Solidity 开发人员如何吸取前人踩坑的教训,避免重蹈覆辙。
过去的6个月里,比特币和Ethereum等加密货币从全球经济的零头转向主流银行会议的中心舞台。目前的热潮主要是对加密货币和代币的估值飙升,并将其用作投资。所有这一切都有一个有趣的背后故事——一个在两年前尝试过的开放组织努力的根源:DAO。
就像近年来的"区块链"、"人工智能"和"云"一样,"智能合约"也是十分热门的话题之一。
【竞态条件】竞态条件的官方定义是如果程序的执行顺序改变会影响结果,它就属于一个竞态条件。 在智能合约中,竞态条件漏洞被攻击者利用后,攻击者利用一个与存在漏洞合约平起平坐的外部合约竞争夺取控制权,改变该智能合约的行为。 用一个形象的比喻来说明,将智能合约理解成一条高速公路,所有函数和功能理解为车辆,原本的执行顺序规定了车辆经过的顺序,此时一名熟练的老司机,驾驶着GTR在弯道超车加塞,扰乱了整个道路的秩序,抢占了在道路中的领先地位,进而为所欲为,戏耍合约规则。 以太坊智能合约的特点之一是能够调用和利用其它外部合约的代码,调用外部合约主要存在的危险就是外部合约可以接管控制流,并对调用函数不期望的数据进行更改。这类漏洞有多种形式,我们在这里深度解析重入和交易顺序依赖两种。
2013年,魔术犯罪题材影片《惊天魔盗团》在全球惊艳上映并斩获了票房口碑双赢。三年后的2016年6月,《惊天魔盗团2》将在中国大陆隆重上映。就在公映前一周的6月17日下午,互联网上的惊天魔盗团居然力抢头条,而这次的作案目标,竟然对准了全球最大的众筹项目-The DAO!
上周的zentaopms漏洞复现你们觉得还OK吗? 斗哥想要的是一个肯定。 如果你们觉得意犹未尽, 本期将进入, 代码审计的小练习。 Zentaopms v7.3sql注入漏洞 (无需登录)。 来,表
现今,虽然智能合约还未被广泛应用和实践,但其优点已得到研究人员和业内人士的广泛认可。总体来说,智能合约具有以下优点:
1、保证数据的完整性。在共识机制下,只有全网大部分节点都认为这个记录正确时,记录的真实性才能得到全网的认可,才允许被写入区块中,保证了数据的完整性。
区块链领域自起源到如今,经历了9年的发展沉浮,头条新闻除了层出不穷的新币和应用, 还有一起起令人揪心的安全事故,动辄数千万美元的损失令人唏嘘。更加令人不解的是,早在17年就发生了数起巨大的安全事故,甚至Youbit直接因为黑客攻击损失巨大宣布破产。然而尽管交易所在安全事故中撞得头破血流,但是安全事件的发生频率不但没有降低,反而越来越频繁。
在编写代码时,给包名、类名、类属性等做一定的规范。可以达到见名知意的效果。具体可以参考《阿里巴巴Java开发手册》
DAO是Decentralized Autonomous Organization的缩写,是一个经常用于加密货币领域但并不总是被广泛理解的术语。简而言之,DAO 是一组自动触发的组织规则,无需中介。在本指南中,我们将更详细地解释它们是什么、它们是如何创建的,以及您需要了解的有关 DAO 的所有其他信息。
文章摘要 •黑客骗倒了Axie Infinity的一名高级工程师,引诱他向一家子虚乌有的公司申请工作。 •这出骗局导致今年早些时候损失了5.4亿美元(36.2亿人民币)的加密货币。 很少有哪份工作申请带来的结果比Axie Infinity的一位高级工程师更出人意料的了,他有意加入一家后来被证明是子虚乌有的公司,最终导致了加密货币行业最严重的黑客攻击事件之一。 Ronin是与以太坊相关的侧链,在底层支持采用边玩边赚模式的游戏Axie Infinity,它在3月份的一次漏洞事件中损失了价值5.4亿美元的加密货
【新智元导读】北京时间8月3日凌晨,最大的美元比特币交易平台Bitfinex官网挂出公告,由于网站出现安全漏洞,导致用户持有的比特币被盗,随后据路透报道,被盗的比特币共119756枚,总计价值约为6500万美元。在近12万比特币被盗后,Bitfinex网站宣布,暂停所有交易和存提款业务,将寻求各种方式解决客户损失,希望外界保持耐心,以便理清事件原因。区块链的出现给了人商业交易自动化的期望。但如果代码是法律,那么代码里的bug也是法律,修正这些bug本身就是在违反合约。文章指出,智能合约忠实信徒应该谨慎看待一
在本文中,我将简要介绍区块链如何改变民主。如何通过区块链民主程序,把承诺变成了行动。
“现在进入你还是先行者,最后观望者进场才是韭菜。”美图董事长蔡文胜在三点钟群中的预言一语成谶。在4月22日,随着BEC智能合约漏洞的爆出,一行代码蒸发了6447277680人民币。然而时隔三天,SMT的智能合约又爆出漏洞,SMT在火币Pro的价格下跌近20%。一时间,无论先行者还是准“韭菜”,都惨遭收割。 区块链做为一款能与价值交互的产品,难免不被人们神化。理性地分析一下,程序中的漏洞总是不可避免的,很难保证代码百分百不出错,即使大公司也只能通过发布测试版本来降低漏洞出现的概率。今天让我们来看看智能合约的
链接:https://www.freebuf.com/vuls/240578.html
SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。
区块链本是去中心化架构,在以太坊首次遭遇严重黑客攻击智能合约事件时,采用的解决方案却破坏了去中心化理念。
区块链生态中恶意攻击事件频发?冲击过后我们还应当如何搭建安全堡垒?安全是区块链行业发展背后的坚实力量,技术则是在攻防战争中矛与盾的力量转化。这里有一份以技术为导向的不完全安全指南,看一线网络安全攻防实战的团队如何做到负责任的披露,希望能够引领更多公链安全修习者共筑更为强大与健壮的数字未来。我们也许难以辩明黑暗丛林中的猎人,有人选择打开了潘多拉的魔盒,还应有人点燃寓意希望的圣火。
重入,顾名思义是指重复进入,也就是“递归”的含义,本质是循环调用缺陷。重入漏洞(或者叫做重入攻击),是产生的根源是由于solidity智能合约的特性,这就导致许多不熟悉 solidity 语言的混迹于安全圈多年的安全人员看到“重入漏洞”这 4 个字时也都会一脸蒙圈,重入漏洞本质是一种循环调用,类似于其他语言中的死循环调用代码缺陷。
松哥最近正在录制 TienChin 项目视频~采用 Spring Boot+Vue3 技术栈,里边会涉及到各种好玩的技术,小伙伴们来和松哥一起做一个完成率超 90% 的项目,戳戳戳这里-->TienChin 项目配套视频来啦。 作者 :sunnyf 来源:www.freebuf.com/vuls/240578.html 前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不
「人物志」为区块链大本营(ID:blockchain_camp)着力打造的人物栏目,以「趣味而不失专业,可读而不失深度」为宗旨,每期邀请区块链领域的顶级专家和开发者就行业、投融资、开发、案例、项目实践等展开探讨。 作为以太坊生态的核心,智能合约这几年发展迅速。最早的智能合约,可以追溯到1995年,由密码学家尼克萨博首次提出。智能合约在多方参与、复杂交易的场景中有明显优势。 然而,近期随着智能合约安全问题的频繁出现,智能合约的劣势也愈发明显,包括智能合约如何对实体资产进行控制,从而保证其有效地执行合约;以及如
区块链,比特币背后的分布式账本技术,日后可能会被证明比它支持的货币更有价值,但这种价值必须建立在安全的基础上。当我们开始将该技术付诸实践时,一定要确保我们设置的初始条件不会在日后导致安全问题。要理解区
java源代码审计相关资料一直比较少,今天抽空给大家写一篇简单的开源代码审计,这是个做公司网站的开源模板,由于项目比较小,本次就针对几个比较严重的漏洞讲解一下发现的过程,其它的一些小漏洞,包括XSS一类的就不写了,希望给大家学习帮助。
初学 java 代码审计,跟着表哥们脚步,走一遍审计流程,就选了个没有使用 Java 框架的 java 系统,作为入门。
DAO (Decentralized Autonomous Organizations),去中心化自治组织,是基于区块链技术,由社区通过透明的决策过程运行和管理的组织形态。
上期分享了JDBC下的注入审计,今天开始分享mybatis框架下的SQL注入审计。
如何添加参与者从DAO购买代币的功能以及在Story中添加提交内容。编写DAO的最终形式:投票,黑名单,股息分配和退出。我们将提供一些额外的辅助函数以便进行监测,系统开发教程如下:
攻击者可以通过发布包含恶意代码的“智能合约”,经过一系列的操作之后,控制区块链网络中的所有节点,从而为所欲为。从The DAO到BEC,SocialChain,Hexagon,再到这几天的EOS漏洞,“智能合约”已经成为区块链安全的重灾区。
坦率地说,DAO是组织的未来。DAO(去中心化自治组织)的元素已经存在了很久,但这些元素终于到了结合在一起,并形成大于整体的东西的时候了。
GameFi是加密世界中最热门的流行词之一,是“游戏”(Game)和“金融”(Finance)的合成词。它描述了金融系统的游戏化,以通过玩「Play-to-earn」的加密游戏来创造利润。
虽然以太坊上的去中心化金融占据了讨论的前沿,但它的兴起也促成了去中心化治理的巨大增长。在过去的一年中,以太坊生态系统中出现了三个去中心化治理的强劲趋势:
以太坊(Ethereum)已经成功跻身为密码货币资本市场的第二名,其地位仅次于比特币。在短时间内,以太坊迅速演化成一个'世界计算机',它凭借全世界的数千个节点(个人计算机)协同工作来替代集中式服务器。
从The DAO到BEC,SocialChain,Hexagon,再到EOS漏洞,“智能合约”已经成为区块链安全的重灾区。智能合约安全漏洞频现并非偶然,其落地推广可能还需经历一个漫长的技术突破期。
原文标题:Trust No One: Ethereum Smart Contract Security Is Advancing 原文链接:https://www.coindesk.com/par
区块链软件漏洞造成的安全问题不少见,从加密货币钱包盗窃到智能合约攻击再到加密货币交易所被攻击,各种安全事件层出不穷。
布特林,一个誓言用区块链颠覆真实经济体系的俄罗斯小子,他打造的全新区块链平台, 从科技大厂IBM、三星,到投资银行巴克莱、瑞士信贷,都争相借重他的专才。20岁获得提尔奖学金、成立非营利组织以太坊基金会,在迈阿密的比特币会议公开发表以太坊计画,该年7月,启动以太坊计画众售募资,募得3.1万枚比特币(当时约合1840万美元)。21岁以太坊最初版本Frontier问世、以太币开始在世界各地交易所公开交易。 2014年7月,「以太坊计画」启动以太币众售募资,当时每1枚比特币可兑换2000枚以太币。今年6月17日,
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
