Primer lanzamiento | ¿Por qué hay un vacío legal en el contrato inteligente de Bancor? ¿Cómo evitarlo?

Durante el período del 18 de junio, me preocupaba que "Avalokitesvara" no fuera suficiente. Si me despertaba, de repente descubrí que las cuentas de mis padres se pueden usar de manera casual, y que el dinero de mi ex novio está abierto para ti y todos sus ex. novias debido a la configuración de permisos incorrecta. No es que no haya pastel en el cielo, sino que puede haber un agujero en el cielo. Lo que es mío es mío, y lo que es tuyo es mío. Esta vulnerabilidad le sucedió al contrato inteligente implementado por Bancor el 18 de junio. Bancor implementó su contrato inteligente BancorNetwork v0.6 el 16 de junio, y dos días después se descubrió que el contrato tenía vulnerabilidades de seguridad graves. Los atacantes pueden usar esta vulnerabilidad para transferir dinero en el contrato. Hay muchas lagunas posibles en los contratos inteligentes, y las lagunas en el contrato inteligente de Bancor esta vez están relacionadas con las funciones. Primera ciencia popular, en el contrato inteligente, la función tiene 4 tipos de derechos de acceso: Público: todos pueden llamarla Primera versión | imKey admite oficialmente Filecoin, convirtiéndose en el primer lote de billeteras de hardware Filecoin: el 1 de diciembre, con el lanzamiento de Versión imToken2.7.2, imKey es compatible con Filecoin sincrónicamente, convirtiéndose en la primera billetera de hardware en la industria en admitir oficialmente FIL. Como uno de los proyectos prioritarios respaldados por la cadena múltiple de imKey, Filecoin se ha convertido en la quinta cadena pública después de las cuatro cadenas públicas de BTC, ETH, EOS y COSMOS. Se informa que el equipo de imKey lanzó por completo el plan de soporte de cadenas múltiples en el cuarto trimestre, planeando implementar todos los proyectos de cadenas públicas que imToken ha respaldado. Esta actualización de actualización de imKey no necesita reemplazar el hardware, no implica actualizaciones de firmware y puede actualizarse automáticamente a través de la aplicación (Applet) Darse cuenta del soporte de imKey para Filecoin y la gestión de tokens de FIL. [2020/12/2 22:52:32]Externo - solo puede ser llamado externamente Interno - solo puede ser llamado por el contrato mismo y los contratos heredados Privado - solo puede ser llamado por el contrato mismo Aquí enfatizo que cuando la función permite se establece en public , cualquiera puede llamar a esta función para transferir el dinero en el contrato. En otras palabras, cuando su exnovio establece accidentalmente los permisos de su billetera en público, cualquier persona en el mundo, incluidos su actual, ex y ex-ex, puede transferir fácilmente su dinero. Debe estar muy molesto en este momento. Primer lanzamiento | Okey Cloud Chain lanzó la "Solución Eye of the Sky" para promover la actualización del sistema de seguridad en la cadena: el 28 de agosto, el grupo de la industria blockchain Okey Cloud Chain anunció el lanzamiento de la "Solución Eye of the Sky" para la cadena de bloques, principalmente a través del sistema de seguimiento de datos en la cadena. La investigación y el desarrollo, el soporte técnico externo y la recopilación de la fuerza de las empresas ayudarán de manera integral a la mejora de la seguridad de la cadena de bloques y al desarrollo estable y saludable de la industria. Se entiende que bajo el "Programa Eye of the Sky", Okey Cloud Chain Group construirá un sistema de seguimiento de datos en la cadena para frenar el lavado de dinero y otras actividades ilegales al rastrear activos digitales, monitorear transacciones ilegales y otros medios; ayudar a la ley organismos encargados de hacer cumplir la ley en el manejo de casos, y crear soporte técnico legal para tales sistemas de cadena de bloques; proporcionar soluciones de cadena de bloques + big data para cadenas de alianzas y datos en cadena basados ​​en varios negocios. [2020/8/28] Echemos un vistazo al código de esta vulnerabilidad de Bancor: En la línea 45 del contrato de vulnerabilidad, vemos la función safeTransferFrom. La función de esta función es transferir dinero de una dirección a otra. Aviso esta función Los permisos se establecen en público. "Elf Master 3D" se lanzó oficialmente en la red principal de Cocos-BCX: Según noticias oficiales, recientemente, "Elf Master 3D", que fue desarrollado por el socio ecológico DAPPX, se lanzó oficialmente en la red principal de Cocos-BCX del público del juego. cadena. "Elf Master 3D" es un juego de captura de mascotas basado en el tema de Pokémon. El arte del juego está hecho en 3D completo. Los usuarios pueden iniciar sesión en la cuenta de la red principal de COCOS a través de CocosWallet, DAPPX o IMCOCOS para experimentarlo. Hasta ahora, la red principal Cocos-BCX ha lanzado "Encryption Knights", "The Dragon Must Die", "XPEX Monster World", "Go Block", "Cocos Winning Coins", "Panda Games" y otros interesantes juegos en cadena. con varios modos de juego La ecología de la cadena pública del juego está creciendo y mejorando gradualmente. [2020/8/20] Curiosamente, el equipo de CertiK descubrió a través de una investigación adicional que dos días después de la implementación del contrato vulnerable, el equipo de Bancor usó las siguientes dos direcciones de billetera para retirar los fondos en el contrato a través de la vulnerabilidad para liquidar el contrato También es un movimiento astuto para compensar las lagunas: 0xc8021b971e69e60c5deede19528b33dcd52cdbd8,0x14fa61fd261ab950b9ce07685180a9555ab5d665 Primera versión | Se establece oficialmente la base de prácticas de seguridad de software y tecnología de cadena de bloques: la rama de Seguridad de la Asociación de Finanzas Doradas, el hoy, los departamentos de seguridad de la Asociación Pública Popular de China, y los departamentos relevantes de ChinaSoft. de la Oficina de Seguridad Pública de la ciudad de Heze establecieron conjuntamente la base de prácticas de seguridad de software y tecnología blockchain. Al mismo tiempo, Song Ailu, subsecretaria general de la rama de cadena de bloques de la Asociación de Software de China, fue contratada como experta especial en la base de prácticas de seguridad de software y tecnología de cadena de bloques. La base de prácticas de seguridad de software y tecnología blockchain involucra principalmente las siguientes áreas: transacciones ilegales de moneda digital y lavado de dinero, esquemas piramidales de blockchain y fraude de telecomunicaciones, juegos de azar en línea, pago de cuatro partes, registro de marca fraudulento, etc., gobernanza social conjunta, seguridad urbana , tecnología de punta Los expertos de la industria en el campo cooperan con la Asociación de Policía. Según informes públicos, los órganos de seguridad pública de la ciudad de Heze acaban de descifrar recientemente un gran caso de fraude en la red de telecomunicaciones, aplastaron a varias bandas de fraude sospechosas de usar préstamos en línea e invertir en "Bitcoin", arrestaron a 83 sospechosos y confiscaron y congelaron el fondos involucrados 27 millones de yuanes. [2020/7/21] Casi al mismo tiempo, dos empleados de terceros también comenzaron a usar esta vulnerabilidad para retirar fondos. Uno de ellos usó la vulnerabilidad para realizar 16 transacciones de retiro, con un retiro total de 131,889.34 dólares estadounidenses. La dirección ETH y la dirección de correo electrónico de este tercero son: 0x052ede4c2a04670be329db369c4563283391a3eaarden43y@gmail.com. Esta persona afirma que detrás de esta dirección hay un sistema de comercio automático, que puede usar involuntariamente errores humanos y lagunas contractuales para obtener fondos. Si se puede probar que esta dirección consiguió el dinero a través de la escapatoria, puede devolver el dinero. Primer lanzamiento | Vicepresidente de Negocios Globales de Huobi Group: La supervisión determinará la velocidad de la tecnología blockchain y el aterrizaje de criptomonedas: El 21 de enero, Ciara Sun, Vicepresidenta de Negocios Globales de Huobi Group, dijo en el Foro Económico Mundial de Davos 2019 es un año importante para la actitud regulatoria de blockchain y moneda digital. En los Estados Unidos, a fines de 2019, había 21 proyectos de ley destinados a la política de criptomonedas y blockchain, estos proyectos de ley incluyen temas de impuestos, estructura regulatoria, funciones de seguimiento y aprobación de ETF, qué agencias federales regulan los activos digitales, etc. La Unión Europea (UE) implementó una nueva ley el 10 de enero de 2020, que requiere que las plataformas de criptomonedas adopten prácticas más estrictas contra el lavado de dinero. Suiza, Japón, Lituania, Malta y México han aprobado leyes que requieren que los intercambios tengan licencia de acuerdo con las pautas de KYC y AML. Países como China, Turquía, Tailandia y otros están planificando sus propias monedas digitales de banco central (CBDC). La regulación determinará la velocidad a la que se implementará la tecnología blockchain y las criptomonedas. [2020/1/22] La dirección de la otra persona son las dos siguientes: 0x854B21385544c44121f912AEdF4419335004F8ec,0x1ad1099487b11879e6116ca1ceee486d1efa7b00 Hizo un total de cuatro transacciones de retiro, con un retiro total de 3340 dólares estadounidenses. (Equivalente a unos 23 000 RMB, se pueden comer más de 2000 toneladas de cangrejos de río). Bancor respondió oficialmente a este incidente (consulte el primer artículo de "Otros enlaces de referencia" al final del artículo para obtener más información): Hay es un párrafo Se menciona que usaron este vacío legal para transferir el saldo de $ 455,349 en el contrato a otra billetera. Otro párrafo decía que se había puesto en contacto con dos miembros del personal de terceros y les había pedido que devolvieran los fondos transferidos aprovechando las lagunas en el contrato. Posteriormente, Bancor actualizó el contrato vulnerable. Se puede ver claramente que público ha sido cambiado a interno. Esta vulnerabilidad crítica se debe a un error del desarrollador al configurar los permisos de las funciones. En un contrato inteligente, solo un parámetro incorrecto puede poner en riesgo el dinero de todos en el contrato. Afortunadamente, esta vulnerabilidad no fue aprovechada por piratas informáticos, de lo contrario, el dinero del usuario nunca se rastrearía. Las vulnerabilidades similares a los errores de llamada de función en los contratos inteligentes incluyen, entre otras, miles de posibilidades, como DOS, errores lógicos, acceso no autorizado, reingreso y desbordamiento de enteros. Cualquiera de estas mil posibilidades traerá enormes pérdidas de propiedad para la empresa y los usuarios, y el contrato tiene la propiedad de que no se puede cambiar una vez que se implementa. Por lo tanto, es muy importante asegurarse de que los contratos inteligentes no tengan lagunas. Antes de implementar el contrato, es un enlace indispensable para enviarlo a una empresa de seguridad profesional para una auditoría de seguridad. CertiK utilizará la formalización para probar la corrección de los contratos inteligentes a través de la verificación matemática. Lo anterior es parte de la auditoría de seguridad de CertiK. La prueba del programa puede probar la existencia de lagunas, pero nunca puede probar que no existen lagunas. La existencia de CertiK es hacer que las lagunas no existan. No solo buscamos lagunas, sino eliminar la posibilidad de que incluso el 0,00000001 % sea atacado

Tags：

ADA