比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

你玩的Dapp真的安全嗎?Trustlook反編譯平臺給程序員風險提示_CAP

Author:

Time:1900/1/1 0:00:00

只要談到區塊鏈、以太坊就必定離不開“智能合約”這個詞,由于具備了最基本的圖靈完備性,開發者可以基于以太坊完成各種應用的開發。據Odaily星球日報2月25日發布的ETH周報顯示,目前ETH鏈上Dapp開發累計至1602個,“類”、“交易所”仍然是目前ETHDapp生態中日活以及交易額最高的兩大應用。智能合約為以太坊社區注入了生機,促成了生態的繁榮,但也帶來了各種各種各樣的安全問題。基于智能合約的各類Dapp真的靠譜嗎?類游戲真的就如其說明書所言的公平嗎?Odaily星球日報最近接觸的安全公司Trustlook在2019年1月發布了基于二進制智能合約反編譯開放平臺SmartContractInsight。據Trustlook創始人AllanZhang介紹,他們認為,讓區塊鏈變得更安全的唯一路徑是從工具的角度重建區塊鏈社區——打造一個可用的工具,讓區塊鏈代碼可讀,漏洞可被發現,從而做到真正的開源和共建。很多Dapp的合約都沒有開源,或是處于半開源狀態,對用戶來說,代碼是否安全需要考量。機器語言是用二進制代碼表示的一種計算機能直接識別和執行的一種機器指令,在智能合約中,業界稱為二進制的EVM代碼。也就是說,在目前的狀況下,社區里的開發者如果對某一份智能合約產生了興趣,想要去了解它的功能甚至查找漏洞,只能夠接觸到二進制代碼,對于大部分程序員而言,這是較大的障礙。

Crypto.com增加對MATIC、USDC和DAI的支付支持:金色財經報道,加密貨幣交易所Crypto.com最近更新了其DeFi錢包服務,支持在更多國家購買法定貨幣和三種新代幣MATIC, USDC和DAI。

Crypto.com的原生CRO是目前唯一可用于支付購買的代幣。Crypto.com還宣布在更多國家支持支付,將能夠使用該服務在該公司的DeFi錢包應用程序中直接購買加密貨幣的國家數量增加到108個。[2023/5/18 15:10:15]

未編譯的機器代碼長這樣“反編譯開放平臺”這個概念聽起來有點拗口,簡單來講就是將二進制的機器代碼或通過合約地址逆向成人類可讀的計算機高級語言,并根據結果作出風險提示。目前提出的漏洞包括:整數數值溢出漏洞、重入攻擊漏洞、外部調用返回值未校驗漏洞、tx.origin依賴漏洞以及時間戳依賴漏洞等,用灰底的“//ISSUE:”提醒。據介紹,整數數值漏洞說明幣有無限增發風險;重入攻擊最有名,著名的DAOattack就是這個漏洞造成的,它最造成攻擊者重復調用取款函數,一直將合約賬戶中的所有代幣取走;外部調用返回值是指,智能合約在地址上執行操作的底層方法,比如:address.call()、address.callcode()、address.delegatecall()和address.send。這些底層方法不會拋出異常(throw),只是會在遇到錯誤時返回false。在合約中調用外部合約時,應該對返回值進行判斷。如果沒有判斷,那么調用者可能會誤判交易是否成功,對于交易所造成財產損失;tx.origin依賴漏洞是指,不慎使用tx.origin進行鑒權認證有可能帶來釣魚攻擊。時間戳依賴漏洞指的是一些賭博類的Dapp使用時間戳來生成隨機數,會造成類應用結果可預測,這樣攻擊者可以直接贏得的獎勵。舉個例子,我們從以太坊上選擇一個211b合約地址,如:0x20B5c52d43a87ae8B375670d47D572681753211b,將這個合約地址用SmartContractInsight平臺“破解”,可以得到:

A股數字貨幣概念股和算力概念股走強:金色財經報道,A股數字貨幣概念股和算力概念股走強,亞聯發展3連板,奧馬電器漲停,高偉達、銀之杰漲超5%,芯原股份、先進數通、廣電運通、古鰲科技等跟漲。寒武紀拉升漲超11%,劍橋科技、太辰光、光庫科技、海光信息、首都在線、中科曙光等繼續沖高。[2023/4/19 14:12:45]

編譯后的高級語言及風險提示SmartContractInsight平臺在提醒時用提醒風險或異常,方便判別合約安全性。我們可以看到,剛剛的合約地址反編譯后得到的代碼有整數溢出風險,也就是說,如果這是一個發幣平臺,就意味著這個幣有無限增發的風險。目前SmartContractInsight平臺免費開放,但如果對二進制合約有更詳盡的了解需求,平臺也提供人工審核部分,收部分安全費用。目前該平臺支持以太坊或基于EVM代碼的合約檢測。作為工具,操作非常簡單,但如果能根據編譯結果沉淀出一些分析結果或許更好。智能合約的安全問題一直被行業關注。此前,安全公司CertiK發布智能合約自動檢測引擎CertiKAutoScanEngine,并對Etherscan平臺進行了技術集成與大規模的通證安全檢測;評級機構RatingToken面向C端上線其智能合約查詢檢測功能,同時為B端提供智能合約實時監測功能。Trustlook是位于硅谷的移動安全解決方案提供商,多年來服務于華為、亞馬遜、高通等一線軟硬件廠商,創始人AllanZhang曾是PaloAltoNetwork的創始安全工程師,團隊目前17人,均屬研發團隊。公司于2015年完成1700萬美元A輪融資,摯信資本領投,星元資本、線性資本等跟投。我是Odaily星球日報記者遂心,加好友煩請備注姓名、單位、職務和事由。

電競元宇宙平臺Yesports完成380萬美元戰略融資,Spartan Capital領投:8月24日消息,基于 Polygon 的電競元宇宙平臺 Yesports 宣布完成 380 萬美元新一輪戰略融資,Spartan Capital 領投,Tess Capital、NGC Ventures、Jsquare、Rising Capital 和 BR Capital 參投。

Yesports 計劃利用新資金發展技術基礎設施,并在全球范圍內擴大其電子競技團隊的合作伙伴關系,目前已推出可定制 NFT 會員解決方案。已達成合作關系的電競團隊包括 Talon Esports、Falcon Andilex、Renegades、Team Empire 等。

此前報道,Yesports 于 2022 年 1 月宣布完成了 Polygon Studios,Alphabit,Cosmos,Kernel Ventures,Mozaik Capital 和 NGC Ventures 參投的 225 萬美元種子輪融資。( αlexaβlockchain)[2022/8/24 12:44:29]

高盛參與亞洲第一筆比特幣期貨大宗交易:金色財經消息,GC Partners的子公司GFI(HK)Securities LLC宣布已在Cumberland和華爾街巨頭高盛之間安排了CME集團比特幣期權的首次中介大宗交易。此前消息,BGC宣布安排了由CME集團提供的首個微型比特幣期權的大宗交易。(PR Newswire)[2022/7/5 1:52:04]

Tags:ARTTALRESCAPARTIC價格DigitalBitsRESTCAPS價格

比特幣價格實時行情
比特幣宗教之爭_BTC

編者按:本文來自31QU,作者:石頭,星球日報經授權發布。2009年1月3日18點15分零5秒,比特幣創世區塊誕生.

1900/1/1 0:00:00
BM最新文章:如何在不自由的世界獲得自由?_區塊鏈

編者按:本文來自巴比特,作者:BM,編譯:魚丸丸,星球日報經授權發布。原地址:https://medium.com/@bytemaster/how-to-find-freedom-in-a-un.

1900/1/1 0:00:00
盤點2018年度十大DAPP_EOS

作者:DD君歡迎添加作者微信btcbtc555與他進行交流!未經授權禁止轉載!2018年可以說是DApp爆發的元年,這一年出現了好幾款現象級DApp.

1900/1/1 0:00:00
EOS側鏈上線第一天,老貓隔空對嗆背后團隊與節點_DAPP

2018年迎來DApp大爆炸的明星公鏈EOS,因競爭對手“波場”的洶洶來勢在年末開始放緩腳步。或許是看到EOS主鏈的“力不從心”,近期一個名為“為DApp而生的”的BOS(BusinessOpe.

1900/1/1 0:00:00
星球獨家 | 鉑鏈上演羅生門:CEO與創始人公開互懟,資金去向成謎_ODA

區塊鏈從不來不缺戲劇和爭議。今天的主角是鉑鏈創始人、CEO及其全體員工。3月2日,鉑鏈官網突然彈出一則公告稱:鉑鏈Bottos項目團隊近期收到社區要求公開基金會資金使用情況,根據白皮書,基金會有.

1900/1/1 0:00:00
金融巨鱷做空比特幣:從2萬美元一直逼到3155美元_數字貨幣

編者按:本文來自一本區塊鏈,作者:木樨、棘輪,星球日報經授權發布。比特幣誕生十年來,悲欣無數。有人一夜暴富,有人散盡家財。幣價跌宕起伏,是誰在操縱?對此,玩家們一直耿耿于懷.

1900/1/1 0:00:00
ads