慢霧 | 智能合約安全審計服務全面增加 Solana 安全審計項_ELE:CTR

談到區塊鏈技術，安全性以及可擴展性都是目前避不開的嚴峻挑戰。

一方面，公鏈領域存在著“不可能三角”，即去中心化、安全性和可擴展性三者不可兼得。以太坊作為智能合約公鏈的領導者，高昂的Gas費和網絡擁堵大大降低了其性能，可擴展性也成了許多新興公鏈鉆研的目標，而這給了競爭對手Solana一個機會。Solana給自己的定位是世界上最快的高性能公鏈，其結合了權益證明共識算法(PoS)和創新的歷史證明系統(PoH)，每秒可處理6.5萬筆交易，被稱為“以太坊殺手”之一。

慢霧：攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱，通過將交易放在bloxy.info上查看完整交易流程，可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用，但是這兩次調用都是獨立的，并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著，在第二次“supply()”函數的調用過程中，攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用，最終提現。慢霧安全團隊表示，不難分析出，攻擊者的“withdraw()”調用是發生在transferFrom函數中，也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯，攻擊者通過“supply()”函數重入了Lendf.Me合約，造成了重入攻擊。[2020/4/19]

另一方面，加密貨幣領域正在經歷前所未有的機遇與挑戰，其中一個挑戰便是日益增長的黑客攻擊事件。根據慢霧近期升級上線的區塊鏈被黑事件檔案庫(hacked.slowmist.io)統計，截至目前，2021年公開的區塊鏈安全事件達133起，損失總金額遠超80億美元！而在133起事件中，絕大多數是因為合約漏洞導致。憑借著對智能合約安全、閃電貸攻擊等豐富的安全研究經驗，慢霧安全團隊已累計審計1200多份知名智能合約，涵蓋以太坊(Ethereum)、EOS、波場(TRON)、火幣生態鏈(Heco)、幣安智能鏈(BSC)、Fabric、唯鏈(VeChain)、本體(ONT)等公鏈平臺，累計發現了數百個高危、中危安全問題。

聲音 | 慢霧科技余弦：公鏈需應對未來可能的新型51%攻擊挑戰:安全公司慢霧科技創始人余弦今日表示，我和團隊的感覺是，Vitalik 的分享有偷換概念，創造名詞嫌疑。PoW、PoS 各有優劣，也各有自己獨特的 51% 攻擊及治理方式，51% 已經是一個廣義概念了，我覺得最長遠的對抗方式是：這條鏈擁有足夠強的全球共識，以應對未來可能出現的新型 51% 攻擊挑戰。其實所有公鏈都有個持續存在的上帝視角級挑戰，一種根本不計經濟成本的攻擊挑戰，那什么樣的攻擊是不計成本的？此前消息，以太坊聯合創始人Vitalik Buterin近日發表題為《越過51%攻擊》的演講，他表示覆巢式51%攻擊成PoW區塊鏈致命威脅，PoS或是唯一出路。[2020/2/22]

基于此沉淀，慢霧針對智能合約安全審計服務全面增加Solana安全審計項。主要審計類如下：

聲音 | 慢霧區：Electrum偽造升級提示的釣魚攻擊盜竊至少200個BTC:據慢霧區消息，Electrum偽造升級提示的釣魚攻擊已盜竊至少 200 枚BTC，此次攻擊單靠升級 Electrum無法避免，需要整個生態服務都做對應的改動（因為 Electrum 這個客戶端并不是全節點，然后在交易廣播上和對應的服務端有消息通訊，攻擊者也可以部署惡意服務端）。慢霧區提醒用戶，Electrum這類釣魚攻擊需要長期警惕。慢霧區此前發布Electrum釣魚更新事件預警，對Electrum錢包進行攻擊的黑客利用Electrum的軟件異常構造惡意的軟件更新提示，誘導用戶更新下載惡意軟件使用。[2019/1/4]

重入漏洞重放漏洞重排漏洞拒絕服務漏洞條件競爭漏洞權限控制漏洞整數上溢/下溢漏洞算術精度誤差漏洞不安全的外部調用審計業務邏輯缺陷審計變量聲明及作用域審計偽造賬號攻擊目前，慢霧已審計過多個Solana生態項目，如收益聚合平臺Solyard.Finance、借貸平臺Larix等。

各項目一定程度決定著生態的市場規模以及發展趨勢，而智能合約作為項目的基礎規則，從某種角度來說，對智能合約進行安全審計能有效地規避風險。慢霧建議各大項目在上線前先做好安全審計，一方面能讓投資者更放心，另一方面能更好地避免不必要的損失，為生態蓬勃發展添一份力。

來源鏈接：mp.weixin.qq.com

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

慢霧

慢霧

慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業，通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括：安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品，已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多

Tags：ELECTRLECECTRLeLe Food ChainENCTR幣filecoin幣怎么交易Electra Protocol

火幣網下載官方app