大家好,感谢大家一直以来的关心和支持。在过去的一周里,链安科技的各项工作都在稳步推进,下面是本周周报的详情内容:
重大新闻
本周,成都链安科技创始人兼CEO杨霞宣布参选Huobi Chain领袖招募,这是领袖招募活动自启动以来第一位参选的女性大咖。
6月26日,成都链安科技作为OKex著名交易所指定的智能合约安全审计公司,正式接受OKB兑换智能合约审计费用。目前链安科技接受的数字货币有两种,包括OKB、ETH。
6月28日,杨霞受邀参加巴比特在乌镇举办的“世界区块链大会”,主办方巴比特将在30日正式采访杨霞,探讨区块链智能合约、安全审计等安全问题。
本周安全事件
事件一:
2018年5月11日,ATN Token遭受恶意攻击,攻击者利用DSAuth库与ERC223搭配使用具有的混合漏洞,窃取了ATN的所有权。之后,攻击者进行了窃取代币操作。
经过我们分析,此次事件主要是利用了开发者对以太坊底层函数call、callcode、delegatecall的不当使用造成的。
▲不安全使用call函数例子
案例详解请点击右方链接查看:智能合约call、delegatecall底层函数使用需谨慎
为了避免此类漏洞,我们提醒开发者应注意以下几点:
1、谨慎使用call、delegatecall等底层函数。此类函数使用时需要对调用参数进行限定,应对用户输入的call调用发起地址、调用参数做出严格限定。比如,call调用的地址不能是合约自身的账户地址,call调用的参数由合约预先限定方法选择器字符串,避免直接注入bytes可能导致的恶意call调用。
2、对于一些敏感函数,不要将合约自身的账户地址作为可信地址。
3、准备修复措施,增加Guard合约禁止回调函数向ATN合约本身回调。
4、增加黑名单合约,随时冻结黑客地址。
我们最终认为,call函数的使用一定要小心,在智能合约开发中尽量避免call函数的使用,如果使用需要对其相关参数进行严格的限定。另一方面,智能合约在部署之前应进行安全审计,比如代码的形式化验证等。
事件二:
本周,我们还利用VaaS-EOS自动化合约审计工具对多个EOS合约进行了安全审计,发现存在整型溢出等问题,部分合约实现不够严谨。
主要存在的问题包括:
1、存在整型溢出错误;
2、权限检查不严谨;
3、API函数的不规范使用;
4、常规代码错误。
针对以上EOS代币合约存在不严谨之处,我们给出了三种建议方法,详细请点击下方链接查看:EOS智能合约的一些问题总结和建议
总体而言,我们认为从目前审计EOS代币合约所遇到的问题来看,开发者在合约敏感代码(如操作代币数额)前后,一定要做好参数限制和权限检查,使用EOS API时一定要搞清楚该函数的输入限制和返回值形式,同时多多参考官方的示例实现。
事件三:
6月28日,有安全公司突然发表言论:提醒各大交易所尽快暂停 USDT 充值功能,并自查代码是否存在逻辑缺陷。
经过我们分析,此次漏洞是因为,交易所可能没有对用户USDT充值交易进行确认,导致用户可能“假充值”,根本原因是再进行区块链Dapp开发时,对区块链接口开发理解不充分、没有做好严格安全把控。
社区运营
6月27日我们开展了“链安科技技术团队答疑”线上分享会,主要针对区块链安全知识进行答疑解惑,群内大家展开了积极的提问,我们的技术团队也针对每一个问题进行了详细解答,得到了大家的高度认可:
▲链安交流群
想进交流群的朋友可以在文章底部添加我们客服人员微信,由客服统一拉进群哟~
“VaaS验证平台使用说明”已经上传至腾讯、优酷、土豆、YouTube,欢迎大家搜索观看:
▲腾讯视频
▲优酷、土豆视频
▲YouTube视频