区块链:区块链安全入门笔记（七）

随着越来越的人参与到区块链这个行业中来，为行业注入新活力的同时也由于相关知识的薄弱以及安全意识的匮乏，给了攻击者更多的可乘之机。面对频频爆发的安全事件，慢雾特推出区块链安全入门笔记系列，向大家介绍区块链安全相关名词，让新手们更快适应区块链危机四伏的安全攻防世界！系列回顾：区块链安全入门笔记(二)|慢雾科普区块链安全入门笔记(三)|慢雾科普区块链安全入门笔记(四)|慢雾科普区块链安全入门笔记(五)|慢雾科普区块链安全入门笔记(六)|慢雾科普hard_fail状态攻击hard_failAttack

hard_fail是什么呢？简单来说就是出现错误但是没有使用错误处理器(errorhandler)处理错误，比方说使用onerror捕获处理，如果说没有onerror捕获，就会hard_fail。EOS上的交易状态记录分为executed,soft_fail,hard_fail,delayed和expired这5种状态，通常在链上大部分人观察到的交易，都是executed的，或者delayed的，而没有失败的交易，这就导致大部分开发者误以为EOS链上没有失败的交易记录，从而忽略了对交易状态的检查。攻击者利用这个细节，针对链上游戏或交易所进行攻击，构造执行状态为hard_fail的交易，链上游戏或交易所进行假充值攻击，从而获利。该攻击手法最早由慢雾安全团队于2019年3月10日一款EOSDApp上捕获，帐号名为fortherest12的攻击者通过hard_fail状态攻击手法攻击了EOS游戏Vegastown。随后，相同攻击手法频频发生，慢雾安全团队在此提醒交易所和EOSDApp游戏开发者在处理转账交易的时候需要严格校验交易状态，确保交易执行状态为executed。详细细节可参考：EOS假充值(hard_fail状态攻击)红色预警细节披露与修复方案重放攻击ReplayAttack重放攻击(ReplayAttack)，是针对区块链上的交易信息进行重放，一般来说，区块链为了保证不可篡改和防止双花攻击的发生，会对交易进行各种验证，包括交易的时间戳，nonce，交易id等，但是随着各种去中心化交易所的兴起，在智能合约中验证用户交易的场景越来越多。这种场景一般是需要用户对某一条消息进行签名后上传给智能合约，然后在合约内部进行验签。但由于用户的签名信息是会上链的，也就是说每个人都能拿到用户的签名信息，当在合约中校验用户签名的时候，如果被签名的消息不存在随着交易次数变化的变量，如时间戳，nonce等，攻击者就可以拿着用户的签名，伪造用户发起交易，从而获利。这是一种最早出现于DApp生态初期的攻击形态，由于开发者设计的开奖随机算法存在严重缺陷，使得攻击者可利用合约漏洞重复开奖，属于开发者较为容易忽略的错误。因此，开发者们在链上进行验签操作的时候，需要对被签名消息加上各种可变因子，防止攻击者对链上签名进行重放，造成资产损失。更多详情可参考：以太坊智能合约重放攻击细节剖析重入攻击ReentrancyAttack

五部门：推进基于区块链的全球航运服务网络平台研究应用:交通运输部办公厅、广东省人民政府办公厅、广西壮族自治区人民政府办公厅、贵州省人民政府办公厅、云南省人民政府办公厅发布《关于珠江水运助力粤港澳大湾区建设的实施意见》。《意见》提出，推进粤港澳智慧港口、智慧航道、智能船舶和智慧海事建设。促进北斗导航系统、物联网、云计算、大数据等信息技术在水运领域的集成应用，推进基于区块链的全球航运服务网络平台研究应用。（财联社）[2020/6/28]

重入攻击(ReentrancyAttack)首次出现于以太坊，对应的真实攻击为TheDAO攻击，此次攻击还导致了原来的以太坊分叉成以太经典(ETC)和现在的以太坊(ETH)。由于项目方采用的转账模型为先给用户发送转账然后才对用户的余额状态进行修改，导致恶意用户可以构造恶意合约，在接受转账的同时再次调用项目方的转账函数。利用这样的方法，导致用户的余额状态一直没有被改变，却能一直提取项目方资金，最终导致项目方资金被耗光。慢雾安全团队在此提醒智能合约开发者在进行智能合约开发时，在处理转账等关键操作的时候，如果智能合约中存储了用户的资金状态，要先对资金状态进行修改，然后再进行实际的资金转账，避免重入攻击。假充值攻击FalseTop-up

“青岛蔬菜数字小镇”研讨会举行 利用区块链技术助力食品安全:4月9日，青岛格利食安网络科技有限公司、青岛链湾研究院、平度市仁兆镇政府在青岛链湾研究院举行联合举行“青岛蔬菜数字小镇”研讨会及多方战略合作协议签订仪式。入会人员表示，三方合作，必将尽快推动仁兆当地合作社、食品厂的实体升级为线上线下营销综合体，协助当地实现订单农业、品牌农业、生态农业的大发展，实现多方互惠共赢的局面，在青岛市打造“区块链+食品安全+蔬菜数字小镇”的产业振兴样板。（中国网）[2020/4/10]

假充值攻击(FalseTop-up)，分为针对智能合约的假充值攻击和对交易所的假充值攻击。在假充值攻击中，无论是智能合约还是交易所本身，都没有收到真实的Token，但是用户又确实得到了真实的充值记录，在这种情况下，用户就可以在没有真正充值的情况下从智能合约或交易所中用假资产或不存在的资产窃取真实资产。1.智能合约假充值攻击

现场 | ChainUP Japan CEO 郑天宇：中国在大力发展区块链:金色财经现场报道，12月16日，IFIC全球金融科技创新峰会·东京站正式开幕。ChainUP Japan CEO 郑天宇在演讲中表示，中国在大力发展区块链，海南已经大力推动区块链的发展，发布了“链上海南”的项目。深圳市用区块链技术的银行达到了30个银行、488个分支机构和2315个公司等。作为区块链技术服务商，ChainUP在全球化进程中，在新加坡总部之外已建立东京办公室，将全球经验和产品进一步应用于本地化发展，为更多优质企业提供技术服务与支持。在区块链技术方面，ChainUP日本公司将适应日本的本地化监管，为日本区块链技术和数字经济产业的发展助力。[2019/12/16]

针对智能合约的假充值主要是假币的假充值，这种攻击手法多发于EOS和波场上，由于EOS上代币都是采用合约的方式进行发行的，EOS链的系统代币同样也是使用这种方式发行，同时，任何人也可以发行名为EOS的代币。只是发行的合约帐号不一样，系统代币的发行合约为"eosio.token"，而其他人发行的代币来源于其他合约帐号。当合约内没有校验EOS代币的来源合约的时候，攻击者就能通过充值攻击者自己发布的EOS代币，对合约进行假充值攻击。而波场上的假充值攻击主要是TRC10代币的假充值攻击，由于每一个TRC10都有一个特定的tokenid进行识别，当合约内没有对tokenid进行校验的时候，任何人都可以以1024个TRX发行一个TRC10代币对合约进行假充值。2.交易所假充值攻击

声音 | 支付宝“老顽童”：区块链将颠覆价值流通效率低的领域:据巴比特消息，多牛资本董事长，支付宝创始员工“老顽童”蒋海炳在访谈中表示，区块链会颠覆的领域是目前的金融体现没有办法价值化的领域，或者说价值流通效率低的领域。比如说人的注意力、行动力、人脉关系、乃至基因数据。区块链能够把人类的行为、基因数据等自带的财富显性化，我觉得这才是最有意义的事情。[2019/2/16]

针对交易所的假充值攻击分为假币攻击和交易状态失败的假充值攻击。以EOS和以太坊为例。针对EOS可以使用名为EOS的假币的方式对交易所进行假充值攻击，如果交易所没有严格校验EOS的来源合约为"eosio.token"，攻击就会发生。同时，区别于EOS，由于以太坊上会保留交易失败的记录，针对ERC20Token，如果交易所没有校验交易的状态，就能通过失败的交易对交易所进行ERC20假充值。除此之外，hard_fail状态攻击也是属于假充值攻击的一种。慢雾安全团队在此建议交易所和智能合约开发者在处理转账的时候要充分校验交易的状态，如果是EOS或波场上的交易，在处理充值时还要同时校验来源合约是否是"eosio.token"或tokenid是否为指定的tokenid。更多几大币种假充值问题可参考：1、USDT假充值：USDT虚假转账安全?险分析|2345新科技研究院区块链实验室2、以太坊代币假充值：以太坊代币“假充值”漏洞细节披露及修复方案3、XRP假充值：PartialPayments-XRPLedgerDevPortal4、EOS假充值：EOS假充值(hard_fail状态攻击)红色预警细节披露与修复方案

动态 | 中国经济时报发文称聚合链成为区块链行业发展新趋势:中国经济时报发文表示：聚合链即联盟链+跨链+公有链架构的产生，可以实现联盟链与联盟链、联盟链与公有链之间的信息交互。随着这种模式逐渐得到认可，标志着聚合链时代即将来临，从而为分布式经济赋能。在专家看来，联盟链、公有链融合是区块链必然发展趋势，未来组织形式也将更加多样化，从单一链发展到多链组合亦是一种趋势，而随着数据和资产跨链越来越普遍并逐渐得到认可，标志着聚合链时代即将来临。[2018/8/10]

标签：区块链EOSFAIHARD区块链币是什么币EOSTbitcoinfaithsharder

比特币交易所热门资讯