九个亿财经报道——Armors Labs曾于今年4月发现UselessEthereumToken(UET)存在盗币漏洞,并将其列入Armors IDS监控名单。安全的transferFrom函数,应该对allowed[_from][msg.sender]授权额度和转账金额value进行判断。正确的做法是需要 allowed[_from][msg.sender] > value。
UET误将>写作<=,导致攻击者都可以从任何人的地址中转走全部代币。
短短不到两个月时间,BEC、SMT、EDU、BAI又接连曝出盗币漏洞,给投资者造成重大经济损失,对市场产生非常恶劣影响。
为了尽量避免悲剧接二连三的频繁发生,Armors Labs于5月中旬上线了入侵检测系统IDS内测版。针对历史经典漏洞进行形式化特征值采集分析,并对目前市值前2000名代币交易记录和200余家交易所交易数据进行监控。通过IDS AI模块学习经典漏洞攻击事件中代币和交易所交易曲线波动情况,对酝酿或发生的攻击行为产生的异常波动进行发出预警。
6月6日,IDS检测到UselessEthereumToken(UET)与漏洞关联合约RemiCoin (RMC)产生多笔异常交易。UET在交易所HitBtc有大笔交易行为。
攻击者极有可能已经在其他交易所布局做空某热门代币,然后通过盗取UET,在HitBtc进行大笔交易兑换Eth,而后使用Eth购买目标代币,最后砸盘做空。
目前Armors Labs已经向HitBtc交易所发出紧急警报,希望其尽快下架UET交易。并且Armors Labs已经对IDS系统进行临时扩容,全力监控HitBtc交易所所有代币的交易行为,如果发现某币种有做空动态,会第一时间发出预警。
预警只是尽量减少攻击造成的损失,从源头出发,在智能合约撰写和审计环节严格把控,才能真正杜绝智能合约安全漏洞。
备注:
Armors Labs作为全球顶级的区块链安全实验室,从智能合约全生态平台延展到整体区块链安全。团队成员来自谷歌、百度、360等世界级互联网公司,毕业于伯克利、卡内基梅隆、清华等院校。
目前Armors作为DKB FUND基金首批孵化的项目,获得了千万级别的股权投资。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
