为什么会有ETH和ETC?the DAO攻击事件2周年祭

澳门新蒲京真正官网 1

根据 BCSEC 的统计数据,2018
年上半年区块链行业因智能合约漏洞而引发的经济损失高达11.6
亿美元,占区块链安全问题的 54.66%,成为区块链安全的头号重灾区。

.wqpc_wechat_view *{max-width: 100%!important;box-sizing:
border-box!important;-webkit-box-sizing: border-box!important;
word-wrap: break-word!important;} 微信号 功能介绍
EOS又爆出重大安全漏洞,与智能合约无关,且官方尚未完全修复。昨天(5月29)中午,360安全卫士官方微博发布消息称,
360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。周鸿祎随后在微博表示,360从年初开始,已经在区块链安全方面做了很多研究,已经做了几个区块链安全解决方案,也包括EOS超级节点安全解决方案。近几个月以来,市场上的公有链项目和虚拟币集中爆发出了一批漏洞,最严重的BEC被直接“归零”,其他遭受严重损失的项目还包括SMT等其他一大批沿用ERC20体系的项目。实际上,在该漏洞被曝光之后,业界还发现了以太坊上多达十几个其他合约也使用了transferProxy这个引起BatchOverFlow
漏洞的函数,该漏洞让攻击者可以通过数据溢出的手段,根据需要创建天量代币,从而将整个代币系统击溃。这次攻击发生在上个月,而就在上周,EDU和BAI也遭遇了黑客攻击。在EDU的智能合约中transferFrom
函数内,未校验 allowed[_from][msg.sender] >= _value 并且函数内
allowed[_from][msg.sender] -= _value; 没有使用
SafeMath,导致无法抛出异常并回滚交易,且由于合约没有 Pause
设计,无法及时止损。黑客利用该漏洞获得了30亿token并成功转手。BAI则表示受到了类似的攻击,而且这个问题可能依然会影响到所有ERC20项目。这已经不是以太坊智能合约第一次出问题了,2016年,the
DAO事件中,黑客利用the DAO智能合约中的漏洞,大规模盗取原the
DAO智能合约中的以太币,对以太坊造成了巨大的打击。这几次攻击事件让整个以太坊和ERC20体系遭遇了前所未有的重大打击。由于所有的漏洞都集中在智能合约上,智能合约又是区块链技术能否进入商业应用(或被称为区块链3.0)阶段的关键,以太坊和ERC20币价也在几天内呈现出下跌的趋势。智能合约频频出现问题的原因很多,但主要可以归结为几点:首先,智能合约是不可逆的,这意味着一旦智能合约被部署,基金会就无法升级或修改它们。因此在部署和使用智能合约之前,需要保证一切都不会出错。其次,智能合约是可公开访问的,存储在智能合约里的内容对任何人可见,而且每个人都可以调用智能合约里的方法,这也让智能合约成为了区块链鸡蛋上的缝。另外,只有上帝写的代码才没有bug。无论多么小心谨慎,让智能合约真正无懈可击几乎是不可能的。最后,在以太坊和ERC20体系中,由于EVM本身的特性,智能合约往往会缺乏形式化验证。这也让智能合约的安全性受到了更大的挑战。在外界纷纷猜测EOS是否出现了和ERC20类似的漏洞时,今天晚些时候,360更新了其技术博客,发布了该漏洞的具体细节。根据技术博客的内容,5月11日360就发现了这个漏洞,并在5月28日将漏洞报告给了EOS。29日,EOS修复了该漏洞,但根据反馈,目前修复了64位,32位仍未修复。在博客中,360表示,这是一个std::vector函数溢出导致的漏洞。在libraries
/ chain / webassembly / binaryen.cpp(第78行)中,函数binaryen_runtime
:: instantiate_module:在POC中,只需设置| offset |
字段设置为0xffffffff,函数就会溢出并崩溃。攻击者可以利用此漏洞在nodeos进程中实现远程代码执行,方法是将恶意合约上传到受害节点,并让节点解析恶意合约。在攻击中,攻击者首先会向EOS主网络发布恶意合约。EOS超级节点解析恶意合约,然后触发漏洞,攻击者即可控制解析合同的EOS超级节点。攻击者可以窃取超级节点的私钥并控制打包的内容。更重要的是,攻击者可以将恶意合约打包成一个区块并发布,最终导致整个网络中的所有节点都受到攻击者的控制。TASChain创始人吴轶群告诉链得得,“这是小毛病,但会造成大问题。这种问题修复起来很简单,但造成的后果可能非常严重。”量子链创始人帅初在朋友圈表示,此次漏洞应该和webassembly新的虚拟机和无gas模型有关,远程代码被vm编译后,被无限执行。他认为,该漏洞在支持虚拟机的合约平台上容易发生,智能合约无限的灵活性也留下了无限的隐患。任何一个小的共识协议的疏忽,都会有机会ddos整个区块链网络。而此次漏洞的根本原因是“ETH和EOS,都不是面向货币的设计,面向区块链平台的设计,复杂度很高,也蕴含更多安全隐患。之前unlimited
btc,也是因为一个共识bug,网络就会被ddos瘫痪。”快的创始人、泛城投资创始人陈伟星则在朋友圈炮轰EOS,称“EOS堪称区块链毒瘤,毫无理想主义的极致炒作圈钱者,区块链共识的最大破坏者”、“一个花几千万人民币就能搞定的技术真的有必要让大家炒的那么欢?”他还列举了EOS的四宗罪:1.募集近30亿美元,完全不知去向;2.ico一年365天,不知投向与目的;3.dpos过度中心化,技术漏洞百出与过度包装;4.绝大部分炒币与所谓超级节点来自国内,而超级节点本质是一群利益共同体的炒作;本次漏洞事件EOS官方还没有将漏洞完全修复,360则表示手里还有不少EOS的漏洞。EOS会如何度过这次危机?我们拭目以待。(本文首发链得得App,作者丨大文)

实际上就是The DAO的智能合约出了BUG,用户可以不断从The
DAO的资产池中获取DAO资产

前两天,跟一位HiBlock区块链社区的用户私聊,他问我一个问题,同样是智能合约,为什么会有以太坊和以太经典,又为什么会有相应的ETH和ETC,两者价格还相差如此之大。

来源:

对360而言,安全业务是区块链这场乱战之局的大龙,也是其守护网络安全环境义不容辞的责任。

在当初硬分叉投票时,有大约10%的投票参与者反对硬分叉,这部分矿工仍然维持着旧链的算力,他们认为不能为了一己私利就随意篡改代码,代码就是法律,这才是去中心化不可篡改的真谛,而硬分叉代表着代码可以随意修改,决策仍然是中心化的。

51%

澳门新蒲京真正官网,又比如今年1月日本最大比特币交易所之一的Coincheck新经币被非法转移至其他交易所事件。

也许今年的6月17日有人因重注墨西哥队而大赚一笔,但无论如何也比不上2年前6月17日黑客攻击the
DAO转走了300多万以太币资产,当时价值6千万美元,而以今年6月18日的ETH价格计算,则价值15亿美元。

作者:黄玲丽

关于区块链的安全问题,每一次事故都会有所警醒、有所改进。但这些警醒和改进都是暂时的,需要一个长期的、持续的安全管理机制来持久保证区块链长期安全。这也成为以360为代表的安全企业的莫大的机会。

技术工坊|利用智能合约漏洞攻击,转走大量以太币是如何做到的?

51%攻击绝不是天方夜谭。以比特币为例,随着金钱的腥味吸引了无数科技厂家入场,挖矿变成了职业玩家的战场,排名前三的矿场垄断了全网接近半的算力。在Crypto51的网站上,我们可以找到对各种数字货币发起51%攻击所需要的成本,对价值3.5亿美元的Bytecoin发动一个小时算力攻击,成本仅需要257美元,这些数字并没有想象中的遥不可及。

网络安全风险正从传统的信息安全扩展到涉及基础设施、经济社会等诸多层面。

关于区块链安全,一直是一个绕不开的话题,传统互联网上是信息的存储和传递,而区块链的信息中,包含了大量与金融相关的数据,我们可以不在乎个人信息被各种“贩子”们倒来倒去,但我们不可能不在乎自己银行账户里的钱被随意转来转去。

Code is
Law,和传统软件开发中的迭代更新不同,为了保证代码的可信性,以太坊中的合约一旦部署就再没有修改的可能。我们当然不能期智能合约一旦发布就可以完美无瑕地运行下去,一行有缺陷的代码可能就会将整个合约推向万劫不复之地。

360的区块链探索,再次展现了自身在安全领域的实力,也一举奠定其在区块链安全领域的领导地位。

线下活动推荐

区块链的世界里也是如此,谁掌握了51%的话语权,谁就可以肆意更改自己的交易记录,发动“双花”攻击。不同的共识机制对于话语权的定义有所不同,在PoW中为算力,而在PoS中则是持有Token的数量。

单点防御就是“只见树木不见森林”,把大数据、人工智能、区块链等技术结合起来,才能“既见树木又见森林”

这个漏洞比较明显,简单地说,每个以太坊上的交易,验证节点都会检查是否与TheDAO智能合约及其子DAO的地址相关。如果是则拒绝这个交易,从而锁定TheDAO的所有资金。这个逻辑实现本身并没有问题,但是却没有收取执行交易的手续费,这就像节假日高速免费一样,导致以太坊成为了DoS的攻击目标,攻击者可以零成本发起大量交易,导致以太坊网络瘫痪,由此各个节点回滚了软件版本,软分叉方案宣告失败。

智能合约


5月25日,360公司Vulcan团队发现了区块链平台EOS的一系列高危安全漏洞,部分漏洞可以远程控制和接管EOS上运行的所有节点,完全控制虚拟货币交易。360安全大脑“史诗级漏洞”的发现,帮助EOS避免了百亿美金的损失


5月29日,360与币安、北京欧链科技有限公司(OracleChain)达成安全方面的深度合作,为其提供一系列智能合约项目的代码审计,且在项目方代码升级后持续提供安全审计服务。


6月28日,360集团与雄安新区签署战略合作,将充分发挥360在网络安全、大数据、人工智能、区块链等技术领域的优势,为建设安全可靠的“数字雄安”提供全面的网络安全服务。

识别二维码回复城市名,即可获得报名地址。

丘吉尔说,民主并不是什么好东西,但它是我们迄今为止所能找到的最好的。

除此之外,区块链自身存在的51%攻击,秘钥安全隐患等问题也都时有发生。

之所以提出软分叉,是为了避免回滚,软分叉失败后只能进行硬分叉,而距离黑客可以转出提现的时间只有2周,同时还要进行所有矿工的投票来通过这次硬分叉方案。最终有大约450万以太币参与了投票,近90%表示同意硬分叉。程序预设在1920000个区块时进行切换,2016年7月20日晚,第1920000个区块在中国产生,TheDAO合约里的所有资金,包括被黑客控制的资金,约1200万以太币,全部转移到了一个新的智能合约中,该合约只有一个功能:退回TheDAO众筹参与人的以太币,众筹参与人只要调用withDraw方法,就可用DAO币换回以太币。

澳门新蒲京真正官网 1

The DAO之所以被攻击,也是由于它编写的智能合约存在着重大缺陷。The
DAO编写的智能合约中有一个splitDAO函数,攻击者通过此函数中的漏洞重复利用自己的DAO资产来不断从TheDAO项目的资产池中分离DAO资产给自己。

但是,Gün教授对于代码漏洞无能为力,因为代码发布在以太坊区块链上就无法修改。事实上,发现这行代码漏洞的并不止Gün教授,2016年6月9日,在互联网上出现了与这次黑客攻击相同手法的预警,6月10日智能合约语言Solidity的作者
Christian在以太坊官方博客上发表文章说明这个问题,the
DAO团队也接到了安全报告,但做出了不会受到攻击的结论。