域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
目前區(qū)塊鏈?zhǔn)袌?chǎng)越做越大,很多服務(wù)都在使用區(qū)塊鏈技術(shù),跟上區(qū)塊鏈的大潮,在高速發(fā)展的同時(shí),區(qū)塊鏈的安全問(wèn)題也日益嚴(yán)重,2018年上半年ATN區(qū)塊鏈平臺(tái)被爆出高危的區(qū)塊鏈漏洞,我們來(lái)看下這個(gè)ATN到底是如何產(chǎn)生漏洞,分析及如何修復(fù)漏洞的。
ATN區(qū)塊鏈平臺(tái)是全世界第一個(gè)區(qū)塊鏈技術(shù)融入人工智能的一個(gè)平臺(tái),去中心化,沒(méi)有任何授權(quán),客戶可以自己使用智能接口來(lái)進(jìn)行與區(qū)塊鏈相連接的一個(gè)虛擬幣平臺(tái)。該平臺(tái)使用的是公有鏈安全機(jī)制,使用的是oracle數(shù)據(jù)庫(kù),可以跨域,跨區(qū)的區(qū)塊鏈平臺(tái),使用石墨烯的最新技術(shù)來(lái)實(shí)現(xiàn)用戶高并發(fā)的請(qǐng)求,也算是人工智能領(lǐng)域最強(qiáng)大的區(qū)塊鏈服務(wù)商,可以為很多的安卓,IOS,APP用戶提供區(qū)塊鏈服務(wù)。
關(guān)于這次漏洞的產(chǎn)生,是被區(qū)塊鏈安全中心檢測(cè)發(fā)現(xiàn),攻擊者利用ERC的合約進(jìn)行偽造惡意代碼函數(shù),對(duì)服務(wù)器進(jìn)行攻擊,因合約開(kāi)放自定義的代碼,導(dǎo)致攻擊者繞過(guò)WAF防火墻,直接插入攻擊代碼從而繞過(guò)權(quán)限,導(dǎo)致漏洞的發(fā)生。
區(qū)塊鏈漏洞的詳情
ATN區(qū)塊鏈?zhǔn)褂玫暮霞s是基于erc20以及加密值token算法的基礎(chǔ)進(jìn)行開(kāi)發(fā)的合約,在開(kāi)發(fā)的過(guò)程當(dāng)中ATN使用了自己開(kāi)發(fā)人員的anth庫(kù),為了轉(zhuǎn)幣的安全考慮,才使用這套合約,每次虛擬幣轉(zhuǎn)賬的時(shí)候都會(huì)首先確認(rèn)授權(quán)權(quán)限,然后才能進(jìn)行轉(zhuǎn)賬功能,當(dāng)轉(zhuǎn)幣為人工智能合約,那么就會(huì)使用隨機(jī)的token值進(jìn)行判斷,并寫(xiě)入到oracle數(shù)據(jù)庫(kù)中,當(dāng)token唯一時(shí),轉(zhuǎn)幣才能成功。我們來(lái)看下合約的代碼到底是如何寫(xiě)的:
從上述代碼可以看出,轉(zhuǎn)幣使用的合約做了詳細(xì)的安全過(guò)濾,防止非法的參數(shù)寫(xiě)進(jìn)來(lái),但是在遠(yuǎn)程調(diào)用對(duì)方身份信息的過(guò)程當(dāng)中,并沒(méi)有進(jìn)行安全攔截,導(dǎo)致在轉(zhuǎn)幣的過(guò)程中可以插入惡意代碼,使用custom_call函數(shù)來(lái)進(jìn)行攻擊,攻擊者遠(yuǎn)程偽造調(diào)用了自己的ATN轉(zhuǎn)幣地址,使其他人轉(zhuǎn)幣的時(shí)候直接轉(zhuǎn)幣到攻擊者的賬戶中去。
目前ATN區(qū)塊鏈平臺(tái)已經(jīng)修復(fù)此漏洞,該漏洞導(dǎo)致的轉(zhuǎn)幣損失已與開(kāi)發(fā)者進(jìn)行協(xié)商處理,損失降到了最低,也由此看出目前的區(qū)塊鏈平臺(tái)多多少少都存在著漏洞,只要是高危漏洞都會(huì)對(duì)幣價(jià)有所影響,目前比特幣,以太坊,市場(chǎng)剛剛回暖,是否是牛市要看未來(lái)整個(gè)區(qū)塊鏈?zhǔn)袌?chǎng)的發(fā)展,以及有多少服務(wù)在使用區(qū)塊鏈技術(shù)。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!