加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

你玩的Dapp真的安全嗎?Trustlook反編譯平臺給程序員風險提示_ALL:以太坊幣k線圖

Author:

Time:1900/1/1 0:00:00

只要談到區塊鏈、以太坊就必定離不開“智能合約”這個詞,由于具備了最基本的圖靈完備性,開發者可以基于以太坊完成各種應用的開發。據Odaily星球日報2月25日發布的ETH周報顯示,目前ETH鏈上Dapp開發累計至1602個,“類”、“交易所”仍然是目前ETHDapp生態中日活以及交易額最高的兩大應用。智能合約為以太坊社區注入了生機,促成了生態的繁榮,但也帶來了各種各種各樣的安全問題。基于智能合約的各類Dapp真的靠譜嗎?類游戲真的就如其說明書所言的公平嗎?Odaily星球日報最近接觸的安全公司Trustlook在2019年1月發布了基于二進制智能合約反編譯開放平臺SmartContractInsight。據Trustlook創始人AllanZhang介紹,他們認為,讓區塊鏈變得更安全的唯一路徑是從工具的角度重建區塊鏈社區——打造一個可用的工具,讓區塊鏈代碼可讀,漏洞可被發現,從而做到真正的開源和共建。很多Dapp的合約都沒有開源,或是處于半開源狀態,對用戶來說,代碼是否安全需要考量。機器語言是用二進制代碼表示的一種計算機能直接識別和執行的一種機器指令,在智能合約中,業界稱為二進制的EVM代碼。也就是說,在目前的狀況下,社區里的開發者如果對某一份智能合約產生了興趣,想要去了解它的功能甚至查找漏洞,只能夠接觸到二進制代碼,對于大部分程序員而言,這是較大的障礙。

Deribit上的BTC永續期貨合約未平倉合約創兩年新低:金色財經報道,據Glassnodes數據顯示,Deribit上的BTC永續期貨合約未平倉合約剛剛達到287,853,100 美元,創近兩年來新低。[2023/1/7 10:59:56]

未編譯的機器代碼長這樣“反編譯開放平臺”這個概念聽起來有點拗口,簡單來講就是將二進制的機器代碼或通過合約地址逆向成人類可讀的計算機高級語言,并根據結果作出風險提示。目前提出的漏洞包括:整數數值溢出漏洞、重入攻擊漏洞、外部調用返回值未校驗漏洞、tx.origin依賴漏洞以及時間戳依賴漏洞等,用灰底的“//ISSUE:”提醒。據介紹,整數數值漏洞說明幣有無限增發風險;重入攻擊最有名,著名的DAOattack就是這個漏洞造成的,它最造成攻擊者重復調用取款函數,一直將合約賬戶中的所有代幣取走;外部調用返回值是指,智能合約在地址上執行操作的底層方法,比如:address.call()、address.callcode()、address.delegatecall()和address.send。這些底層方法不會拋出異常(throw),只是會在遇到錯誤時返回false。在合約中調用外部合約時,應該對返回值進行判斷。如果沒有判斷,那么調用者可能會誤判交易是否成功,對于交易所造成財產損失;tx.origin依賴漏洞是指,不慎使用tx.origin進行鑒權認證有可能帶來釣魚攻擊。時間戳依賴漏洞指的是一些賭博類的Dapp使用時間戳來生成隨機數,會造成類應用結果可預測,這樣攻擊者可以直接贏得的獎勵。舉個例子,我們從以太坊上選擇一個211b合約地址,如:0x20B5c52d43a87ae8B375670d47D572681753211b,將這個合約地址用SmartContractInsight平臺“破解”,可以得到:

THORChain將于2023年第一季度上線免清算的借貸項目:據官方消息,去中心化跨鏈交易協議THORChain 宣布將于2023年第一季度上線免清算的借貸項目。THORChain 表示,由于抵押品獲得了系統中的權益,抵押品價值下降會降低系統的整體負債。[2022/12/20 21:56:20]

編譯后的高級語言及風險提示SmartContractInsight平臺在提醒時用提醒風險或異常,方便判別合約安全性。我們可以看到,剛剛的合約地址反編譯后得到的代碼有整數溢出風險,也就是說,如果這是一個發幣平臺,就意味著這個幣有無限增發的風險。目前SmartContractInsight平臺免費開放,但如果對二進制合約有更詳盡的了解需求,平臺也提供人工審核部分,收部分安全費用。目前該平臺支持以太坊或基于EVM代碼的合約檢測。作為工具,操作非常簡單,但如果能根據編譯結果沉淀出一些分析結果或許更好。智能合約的安全問題一直被行業關注。此前,安全公司CertiK發布智能合約自動檢測引擎CertiKAutoScanEngine,并對Etherscan平臺進行了技術集成與大規模的通證安全檢測;評級機構RatingToken面向C端上線其智能合約查詢檢測功能,同時為B端提供智能合約實時監測功能。Trustlook是位于硅谷的移動安全解決方案提供商,多年來服務于華為、亞馬遜、高通等一線軟硬件廠商,創始人AllanZhang曾是PaloAltoNetwork的創始安全工程師,團隊目前17人,均屬研發團隊。公司于2015年完成1700萬美元A輪融資,摯信資本領投,星元資本、線性資本等跟投。我是Odaily星球日報記者遂心,加好友煩請備注姓名、單位、職務和事由。

ARK首席運營官:財富管理公司應成為加密空間的“大目標”:金色財經報道,針對ARK是否打算繼續嘗試推出現貨比特幣ETF的問題時,Ark Invest首席運營官Tom Staudt表示,雖然這顯然被多次拒絕,但我們繼續與 21Shares 和監管機構合作,希望他們能夠提供該產品。出于多種原因,我們認為它是 [比特幣] 期貨 [ETF] 的優質產品。我們認為這在其他司法管轄區運作良好,并且認為美國不應由于監管套利而在創新方面落后于其他國家。

此外,Tom Staudt還表示,ARK在加密領域也有一個私人認可的投資者基金。并正在努力真正增加允許它投資于加密資產領域各個角落的自由度,包括像質押和更多前沿部分的事情。??我們真的在努力打通所有渠道,我們認為我們現在所做的投資對于公司未來幾年的關鍵業務至關重要。[2022/10/14 14:27:09]

北京將舉辦2022全球數字經濟大會:策劃全球萬人數字安全元宇宙峰會:金色財經報道,據北京日報消息,2022全球數字經濟大會將于7月28日至30日在北京舉行,本屆大會擬策劃全球萬人數字安全元宇宙峰會,將深度探討互聯網3.0、數據要素、5G創新、數字安全、開源、東數西算等前沿領域。[2022/6/3 4:00:29]

Tags:ALLAPP以太坊RESCroatian Football Federation Tokenapt幣挖礦APP以太坊幣k線圖CZSHARES

幣安app官方下載最新版
從JP.Morgan、Facebook 穩定幣到DeFi_區塊鏈:以太坊

編者按:本文來自IOSG,作者:JoeyKrug&Emma,翻譯&校對:IOSGVenture,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
以太坊是如何運作的?(一)_以太坊:ERK

前言:本文主要闡述當前以太坊的具體運作原理,有助于我們理解以太坊背后的各種概念和操作,適合初學者閱讀。介紹不管你是否了解它究竟是什么,也許你已經聽說過以太坊區塊鏈。因為它在新聞中經常出現.

1900/1/1 0:00:00
Tokenview數據周報_EOS:USDT

本周行情回顧截止1月25日15時,加密貨幣總市值1201.84億美元,加密貨幣個數2116個,比特幣市值629.61億美元,占總市值的52.4%.

1900/1/1 0:00:00
讓你躺著就能賺錢的挖礦,怎么計算盈利?_CRYPT:CRYP

譯者|Odaily星球日報齊明如果你對挖礦這件事是認真的而且還想從中獲利,那么你必須要了解可以讓你的設備和投資資源最大化的方式.

1900/1/1 0:00:00
從加冕為王到跌落神壇,以太經典“末日戰車”之路_ETC:加密貨幣

編者按;本文來自31QU,作者國鋒,Odaily星球日報經授權轉載。“末日戰車”,一個兼具力量感與正義感的稱號,它可以是美國70多歲老爺子,傾盡所有打造的一款汽車;也可以是一款兼具力與正義感的游.

1900/1/1 0:00:00
政策周報 | 多地發布指導意見和白皮書,積極布局區塊鏈等數字經濟;美國懷俄明州推出法案,將加密貨幣定義為無形個人財產(1.21-1.27)_區塊鏈:加密貨幣

本周,區塊鏈和數字貨幣相關利好政策不斷。國內方面,易會滿被任命為證監會主席,曾提出利用區塊鏈等手段加強小微信貸風控;四川省政府辦公廳印發國有企業高質量發展指導意見,提及積極布局區塊鏈等數字經濟;.

1900/1/1 0:00:00
ads