安全公司：智能合約不是完美合約，四分之一存在關鍵性漏洞_ORD

智能合約能解決諸多問題，但它們本身卻似乎問題纏身。EOS中存在的RAM致命漏洞和原因一度成為幣圈頭條，一周后，一家代碼審核公司揭示了智能合約中普通存在漏洞的現象。安全公司Hosho與社區管理公司Amazix的最新合作發現，每四個智能合約項目中就有一個存在嚴重的漏洞。

10億美元并不能保證不出現漏洞

10億美元——這是Hosho審計過的智能合約項目所籌集的資金數額。這家安全公司聲稱，它審計的智能合約比審計過的其他行業公司都要多。盡管這些項目有大量的人力和財力資源可供使用，但如果他們忽視對其代碼進行徹底審查，他們中的許多項目將會陷入癱瘓。Hosho審計過的項目中，有四分之一被發現存在嚴重的漏洞，大約60%的項目至少存在一個安全問題。

安全公司OpenZeppelin發布為StarkNet編寫的智能合約庫Cairo v0.1.0:4月6日消息，區塊鏈安全公司OpenZeppelin發布智能合約Cairo v0.1.0，這是一個用Cairo為StarkNet編寫的智能合約庫，一個去中心化的ZK Rollup，該版本包含幾個重要的智能合約，包括ERC20、ERC721和使用Argent開發的賬戶抽象合約。[2022/4/6 14:06:47]

ICO項目的啟動平臺以太坊受到的影響最為嚴重，其中存在的大量可利用代碼導致數億美元的以太幣被竊取或鎖定。雖然像Stratis這樣的智能合約平臺正在推動使用C#來調試部署套件和專業反編譯器的可用性，但是以太坊的圖靈完備系統為漏洞留下了更大的余地。識別和消除所有潛在的安全漏洞是一項永無休止的的任務，即使是經驗豐富的可靠開發人員也很難做到這一點。獲得專門從事智能合約審計的第三方的支持，雖然不能確保萬無一失，但卻是避免發布漏洞叢生代碼的最好辦法。

安全公司：惡意npm包試圖竊取Discord令牌:12月10日消息，DevOps安全公司JFrog在npm（Node.js包管理器）存儲庫中發現17個新的惡意軟件包，這些軟件包故意試圖攻擊和竊取用戶的Discord令牌。JFrog安全研究高級主管Shachar Menashe和Andrey Polkovnychenko解釋說，劫持用戶的Discord令牌（用戶憑據）使攻擊者能夠完全控制用戶的賬戶。

Menashe表示，“如果執行得當，這種類型的攻擊會產生嚴重的影響，在這種情況下，公共黑客工具使這種攻擊變得足夠容易，即使是新手黑客也可以執行。我們建議各組織采取預防措施并管理其使用npm進行軟件管理，以降低將惡意代碼引入其應用程序的風險。”

兩人解釋說，這些軟件包的有效負載各不相同，從信息竊取者到完全遠程訪問后門。他們補充說，這些軟件包有不同的感染策略，包括鍵入錯誤、依賴性混淆和特洛伊木馬功能。這些軟件包已經從npm存儲庫中刪除，JFrog安全研究團隊表示，它們“在獲得大量下載之前”就被刪除了。

JFrog指出，由于Discord平臺是一款流行的視頻/語音/文本聊天應用程序，目前已擁有超過3.5億注冊用戶，因此旨在竊取Discord令牌的惡意軟件有所增加。（ZDNet）[2021/12/10 7:31:29]

智能合約測試服務

安全公司：4月發生較典型安全事件超12起:據成都鏈安區塊鏈安全態勢感知平臺數據監測，4月發生較典型安全事件超12起，以太坊、Defi接連暴雷，各類詐騙依然活躍。Defi發生3起安全事件：Uniswap上imBTC池遭到黑客重入攻擊，損失超30萬美元；Lendf.me遭到類似Uniswap事件的重入攻擊；Hegic代碼錯誤造成28000美元用戶資金永久無法訪問。交易所發生1起安全事件：幣安交易所遭到攻擊并導致合約頁面大范圍卡頓。暗網發生3起安全事件：Email.it遭黑客入侵造成60萬用戶數據泄露；2.67億個Facebook帳戶信息在暗網以600美元的售價出售；黑客將慧影醫療公司新冠檢測數據掛暗網交易。詐騙跑路、加密騙局4起：“EOS生態”資金盤項目跑路涉及金額3.6億；Telegram的“搬磚套利”騙局造成用戶900Eth損失；用戶遭遇虛假imtoken人員詐騙；EOS主網犯罪分子誘騙用戶充值。其他方面1起安全事件：PegNet本周遭到“51%攻擊“。總的來說，4月較3月所發生的的安全事件有所減少，但以太坊及Defi方面，形勢依然嚴峻，我們建議Defi項目方遇風險時，應及時進行自查，排查出潛伏的安全漏洞與安全風險，必要時借助第三方安全公司的力量，對于相關加密騙局，用戶應避免貪圖小利心態，防止被騙。[2020/4/30]

雖然行業慣例是在代幣發售前對智能合約進行審計，但尚未籌集資金的項目可能會嘗試走捷徑，在這一程序上節省開支。然而，這樣的做法可能是致命的，因為最惡性的漏洞會導致錢包被洗劫一空，而通過操縱緩沖區溢出漏洞可以更改帳戶余額。數個基于以太坊的項目在執行第一次智能合約時就搞砸了，然后被迫進行代幣替換。

在EOS方面，本周所有的精力都集中在修復最近發現的RAM漏洞上。這個漏洞允許惡意用戶“在他們的帳戶上設置代碼，這樣他們就可以以另一個賬戶的名義插入執行向他們發送代幣的代碼行。「當DAPP/用戶向它們發送代幣時，他們可以在行中插入大量無用數據，從而鎖定RAM。」

Amazix是加密貨幣經濟領域內一家卓越的社區管理和咨詢公司，現已與Hosho合作，為客戶提供智能合約審計服務。Amazix首席營銷官肯尼思?貝爾森說道：

在缺乏行業標準的情況下，我們認為智能合約審計和滲透測試是確保區塊鏈系統良好安全性的重要組成部分。在我們看來，沒有誰比Hosho的工程師更有資格做這件事的了。

加密貨幣的擁躉者們認為，智能合約最終會滲透到從保險到糾紛解決等服務的方方面面中來。在此之前，在治理智能合約的代碼上建立信任至關重要。

鏈聞ChainNews：提供每日不可或缺的區塊鏈新聞。

原文作者：KaiSedgwick文章來源：巴比特中文編譯：Libert版權聲明：文章為作者獨立觀點，不代表鏈聞ChainNews立場。

來源鏈接：news.bitcoin.com

本文來源于非小號媒體平臺：

鏈聞速遞

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3626997.html

漏洞風險安全

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

巴西政府向本地加密貨幣交易所發送調查問卷

Tags：ORDDISCSHOSCORordi幣價格DisCas VisionSHOPXSCORGI價格

幣安app下載