CertiK发布形式化验证自动检测引擎AutoScan:市值前500通证合约中多达53个含高危漏洞隐患

CertiK发布形式化验证自动检测引擎AutoScan:市值前500通证合约中多达53个含高危漏洞隐患

硅谷Live / 实地探访 /热点探秘/ 深度探讨

通证(Token)是区块链中定义价值的方式,用以标定金融或数字资产,其源代码实现方式也趋于标准化,从而使得通证之间的兑换和DAPP支持变得更加容易,包括钱包间的转账、交易所支持交易等。目前通证合约最广泛应用的标准即是在2015年末提出的以太坊改进建议ERC-20。据最新数据,Etherscan平台共计112446个基于ERC20的通证合约,而这个数字还在不断攀升。截止当前Etherscan前500通证总市值约120亿美金。

CertiK发布形式化验证自动检测引擎AutoScan:市值前500通证合约中多达53个含高危漏洞隐患

众所周知,区块链技术安全问题不容小觑,智能合约也已成区块链安全事件重灾之地。迄今为止,因智能合约攻击造成的损失高达20亿美金,其中最负盛名的众筹项目 TheDAO 所遭到的攻击竟造成价值逾5000万美元的损失。这些风险因素造就了智能合约安全审计服务商的迅速发展,并早已成为区块链技术发展中重要的赛道之一。据悉,仅 Etherscan 平台公布的智能合约审计推荐名单就包括了 CertiK,OpenZepplin,QuantStamp 等共计17家服务商。

不同于一般安全审计服务商,CertiK有三大优势:一是存在一套成熟的形式化验证框架和完整的理论基础,能够从数学原理上证明智能合约程序是否存在安全隐患;二是具有很高的可扩展性,基于智能标签与层级分解技术,CertiK能够将复杂的智能合约细化为不同模块从而得以分布式验证,大大提高安全验证的弹性与效率;三是CertiK具有较高的自动化程度,不依赖于人工审阅程序来进行验证,而是通过验证引擎和审计算法来自动完成合约验证,对人力依赖非常少,最大化的将源代码转为机器可检查的验证对象。

CertiK于8月下旬在安全业界公布了其最新进展,重磅发布了第一代高性能智能合约自动检测引擎CertiK AutoScan Engine(CASE),并对Etherscan平台进行了技术集成与大规模的通证安全检测。经过3小时的扫描结果显示,币值前500的智能合约中共计53个合约存在安全漏洞。包括3种高危漏洞,2种中危漏洞,11种低危漏洞。牵涉总市值高达四千万美金。

CertiK发布形式化验证自动检测引擎AutoScan:市值前500通证合约中多达53个含高危漏洞隐患

图为CertiK合约自动扫描验证平台AutoScan

(出于安全考量,扫描中出现的所有合约名字均以随机字符串代替)

CertiK官方也将这段时间的扫描结果脱敏处理公示,供业内机构参考:对于存在安全隐患的通证中,70%的合约存在整数溢出问题,30%存在函数正确性问题。

值得注意的新式漏洞如下:

高危漏洞1: 无限烧币

漏洞描述:只要用户A提供给用户B一个通证的额度,用户B就可以把用户A的通证余额全部烧光。

影响到的合约当前总市值:一千五百万美元

高危漏洞2: 无限铸币

漏洞描述:通过故意混淆函数名与构造函数名,发币人可以在合约中增发无限量的通证。造成持有者的通证大量贬值。

影响到的合约当前总市值:三百万美元

高危漏洞3: 转账即增发

漏洞描述:发币人转账能够通过整数溢出使得发币人自身的币达到无穷大。

影响到的合约当前总市值:一千六百万美元

中危漏洞1: 无主之币

漏洞描述:通过转移发币权,合约可以变成无主合约。用户的通证无法取出造成损失。

中危漏洞2: 卖币收益下溢

漏洞描述:用户卖币时由于合约出现的整数溢出问题,从合约中得到远远少于预期收益的ether。

针对过往智能合约安全漏洞,CertiK也都在第一时间发布安全案例分析与预防机制,详情请参考:

出于对涉及安全漏洞通证合约的安全考虑,CertiK官方暂不提供具体的名称、地址、漏洞位置以及源代码等技术细节。CertiK团队会在接下来联系交易所和相关通证主体,全面清查问题合约,将在取得允许之后陆续公布相关漏洞细节、检测过程以及解决方案,共同推进智能合约的安全发展。

主题测试文章,只做测试使用。发布者:觉鸟网,转转请注明出处:https://www.jueniao.cn/n/16382.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年6月4日 03:42
下一篇 2022年6月4日 04:13

相关推荐

  • 融资近17亿美金的区块链项目TON,最终路向何方?

    免责声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星财经官方立场。 来源:724区块链 出品|724 文:Qiancan 2019年6月,社交媒体巨头Facebook宣布其区块链加密项目Libra,一石激起千层浪,引发了各国央行、政府的热议,监管与立法机构纷纷发难。 然而,2019年除了Libra烽火不断,另一个热门项目 T…

    2022年6月22日
    3500
  • 外媒透露腾讯正组建XR部门,正式布局元宇宙领域

    近日根据路透社报道, 有三位知情人士表示腾讯在周一向其员工宣布正式组建一个扩展现实(XR)部门,正式布局虚拟世界的元宇宙概念。 消息人士称,该部门在内部被腾讯创始人兼首席执行官马化腾视为十分重要的项目。他曾在2020年底首次强调了元宇宙的重要性,即所谓的全真实互联网。该部门的任务是为腾讯建立扩展的现实业务,包括软件和硬件。未来它将由腾讯游戏全球首席技术官沈黎…

    2022年6月28日
    3400
  • 横华国际:冰火交融的宏观现状,本周FOMC会议

    核心观点: 当前的宏观情况,存在于冰火交融共生的局面。 一方面,在VIX指数跌至25下方、纳斯达克指数创出历史新高、澳日汇率持续大幅反弹之际(图9),上周三之后美债收益率大幅回升(图1),验证了全球经济在复工复产后经济的复苏,尤其是在全球央行注入大量流动性之后,短期风险得到显著化解,通胀预期抬升,市场对未来经济复苏抱有相当高的预期。 另一方面,中长期债务问题…

    Bitcoin 2022年7月5日
    2800
  • Matic回应转币砸盘:基金会代币已抵押未流入市场,团队没能力做这件事

    免责声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星财经官方立场。 来源:区块律动BlockBeats 区块律动 BlockBeats 消息,Matic 官方团队在博客上对今天早上 8 点半发生的代币遭遇砸盘出货的情况进行了《审计公告》,他们表示「Matic 没有能力参与这件事情,合约转出量与基金会释放量相似,纯属巧合。」他…

    2022年6月21日
    2900
  • 数字货币成功破圈,“加密第一股”Coinbase上市

    加密货币交易所,第一次站在了纳斯达克的舞台上。 作为全球最大的加密货币交易所之一,Coinbase于4月14日在纳斯达克交易所上市。它也成为第一个上市的加密货币交易所。 上市后,Coinbase的股价飙升超过了250美元的参考价,达到429美元的高点,但随后又一路下跌,收于328.28美元,使Coinbase的估值达到858亿美元。 Coinbase上市第一…

    2022年6月3日
    3300

发表回复

您的电子邮箱地址不会被公开。

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信