近期,一组来自昆士兰大学、北京邮电大学、浙江大学及北京大学的研究人员共同发布了一份详尽分析,揭示了平台智能合约中存在的“假存款漏洞”,这一漏洞威胁到以太币的安全。据调查,价值超过700亿美元的20多个ERC1代币,正遭受两种类型的智能合约采矿攻击的严重威胁。
这份报告由上述四所高校的研究团队共同撰写。报告指出,这些令牌基于20年前发布的ERC2017合同,却存在安全漏洞,使得代码库容易受到操控,黑客得以轻易窃取资金,通过“假存款漏洞”非法获利数百万美元。
令人担忧的是,以太坊网络上部署的超过25万个智能合约中,仅有0.36%的合约发布了源代码,这使得智能合约的安全性和透明度面临巨大挑战。
报告还指出,在分散式交易所(DEX)和集中式交易所(CEX)上,这些令牌同样脆弱,因为它们允许在无需验证的情况下进行交易。
为了提高智能合约的安全性,研究人员开发了一种名为“Deposafe”的工具,用于检测和验证基于ETH的智能合约。
以下是报告的摘录:
本报告系统地阐述了以太坊中的伪造存款漏洞,并推荐使用Deposafe进行漏洞检测和验证。
通过大量智能合约的测试,我们证实了Deposafe的有效性。观察结果显示,ERC20智能合约普遍存在伪造存款漏洞。
调查发现,采用“I型攻击”的伪造存款漏洞可能影响7,735个令牌,而采用“II型攻击”的漏洞则影响7,716个令牌,涉及695万持有人和4.6万笔交易。
此外,本文还确定了多个易受黑客攻击的DEX平台,包括Ether Delta、DDEX和IDEX,以及Kraken、Binance和Coinbase等CEX。
本文强调,如果CEX允许在未完全验证的情况下交易这些代币,将导致巨大的财务损失。
研究人员表示,他们提供的信息将有助于提高开发者的意识,并有望推动在区块链上建立最佳实践。
被认为容易受到伪造存款攻击的ERC20代币包括BRC、PWR、BAT、HPT、Cloudbric、RPL和Moviecredits等。
标签: 比特币行情
