「韓國以太坊」ICON 爆代碼漏洞，所有交易暫停_ETH

韓國國家級區塊鏈項目ICON智能合約代碼近日被爆代碼存在安全漏洞，使transfer功能失效。雖然黑客無法利用這次漏洞盜幣，但該漏洞會導致包括轉賬、交易等重要功能無法正常使用。據聞，項目方已積極投入大量資源修復漏洞并保證交易不受影響。

ICON到底出了什么安全漏洞？

在ICX的合約中，有一個功能可以開啟/關閉合約的轉賬功能。最初，此功能的設計是只有ICX合約的所有者擁有調用它的權限；由于代碼寫錯了邏輯運算符號，導致除了合約所有者之外的任何人都能隨意開啟和關閉該合約的轉賬功能。

USDC Treasury今日凌晨銷毀逾1億枚USDC:4月21日消息，據WhaleAlert監測，北京時間2:15:23，101062793枚USDC（價值約101179481美元）在USDC Treasury銷毀。[2023/4/21 14:18:11]

讓我們來看一下這段代碼：

require(msg.sender!=walletAddress);//錯誤!從代碼邏輯上來看，「!=」表示「不等于」,「==」表示「等于」很明顯的，這行代碼應該寫成:require(msg.sender==walletAddress);//正確!

報告：2022年勒索軟件攻擊者獲利減少40%，至4.568億美元:1月20日消息，區塊鏈情報公司Chainalysis在1月19日發布的《2023年加密犯罪報告》報告中表示，2022年勒索軟件攻擊者獲利暴跌40%，至4.568億美元，同時指出這些數字并不一定意味著攻擊次數比前一年有所下降。

Chainalysis表示，公司被迫加強網絡安全措施，而受害者越來越不愿意向攻擊者支付贖金。在去年同系列報告發布時，2021年勒索軟件攻擊獲利高達6.02億美元，后來又新增了更多的加密貨幣錢包地址，使這一數字升至7.66億美元。

此外，勒索軟件攻擊者在重新分配資金時，有48.3%利用中心化加密貨幣交易所，高于2021年的占比39.3%，而包括遭到OFAC制裁的Tornado Cash在內的混幣協議在2022年被攻擊者利用的占比從11.6%增加到15.0%。（Cointelegraph）[2023/1/20 11:23:09]

事后來看，這幾行代碼所展現的錯誤很直接了當，可開發過程中要面對的是成百上千行代碼，這樣的繁雜就會帶來對漏洞的忽略。而傳統檢測和安全審計服務不僅耗時耗力，還容易出現人為失誤，導致不必要的損失。

Earning.Farm遭受閃電貸攻擊，黑客獲利268 ETH:10月15日消息，據Supremacy安全團隊監測，Earning.Farm的EFLeverVault合約遭到兩次閃電貸攻擊，第一筆攻擊被MEV bot截獲，造成合約損失480 ETH；第二筆黑客完成攻擊，黑客獲利268 ETH。

經過分析，漏洞是由合約的閃電貸回調函數未驗證閃電貸發起者產生，攻擊者可自行觸發合約的閃電貸回調邏輯：償還合約內的Aave stETH債務并提現，然后將stETH兌換為ETH。隨后攻擊者可調用withdraw函數提現所有合約內的ETH余額。[2022/10/15 14:28:46]

怎么保證智能合約代碼無漏洞？

為了探求如何能避免這類型的錯誤再次發生，小編請CertiK(Certik.org)--形式化驗證平臺幫忙做了一個深入檢測，了解到CertiK如何通過將智能標簽運用到源代碼中，快速并且全自動化的檢測安全漏洞。

上圖就是CertiK檢測ICX漏洞的實際過程，完整的演示了漏洞的驗證過程及修復建議。據悉，ICX智能合約已經在上線做過多輪的安全「審計」，但可是這樣的錯誤還是成了漏網之魚。如果ICX當時能使用CertiK的形式化驗證服務，這次事故很可能可以避免。

最后，小編還是要提醒智能合約要上線的各位，盡早讓形式化驗證平臺為你的合約保駕護航。

附上ICX源代碼：

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

區塊鏈探長

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3630312.html

以太坊ETH韓國漏洞風險安全

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

「云挖坑」HashOcean或詐騙350萬美元的BTC，黑客又當回「背鍋俠」?

下一篇：

5%的門羅幣來自惡意挖礦，誠實礦工收入銳減

Tags：ETHICXERTCERBANKETHicx幣的最新資訊cointigertopSOCCER幣

UNI