谈到区块链技术,安全性以及可扩展性都是目前避不开的严峻挑战。
一方面,公链领域存在着“不可能三角”,即去中心化、安全性和可扩展性三者不可兼得。以太坊作为智能合约公链的领导者,高昂的Gas费和网络拥堵大大降低了其性能,可扩展性也成了许多新兴公链钻研的目标,而这给了竞争对手Solana一个机会。Solana给自己的定位是世界上最快的高性能公链,其结合了权益证明共识算法(PoS)和创新的历史证明系统(PoH),每秒可处理6.5万笔交易,被称为“以太坊杀手”之一。
慢雾:ERC721R示例合约存在缺陷,本质上是由于owner权限过大问题:4月12日消息,据@BenWAGMI消息,ERC721R示例合约存在缺陷可导致项目方利用此问题进行RugPull。据慢雾安全团队初步分析,此缺陷本质上是由于owner权限过大问题,在ERC721R示例合约中owner可以通过setRefund Address函数任意设置接收用户退回的NFT地址。
当此退回地址持有目标NFT时,其可以通过调用refund函数不断的进行退款操作从而耗尽用户在合约中锁定的购买资金。且示例合约中存在owner Mint函数,owner可在NFT mint未达总供应量的情况下进行mint。因此ERC721R的实现仍是防君子不防小人。慢雾安全团队建议用户在参与NFTmint时不管项目方是否使用ERC721R都需做好风险评估。[2022/4/12 14:19:58]
另一方面,加密货币领域正在经历前所未有的机遇与挑战,其中一个挑战便是日益增长的黑客攻击事件。根据慢雾近期升级上线的区块链被黑事件档案库(hacked.slowmist.io)统计,截至目前,2021年公开的区块链安全事件达133起,损失总金额远超80亿美元!而在133起事件中,绝大多数是因为合约漏洞导致。凭借着对智能合约安全、闪电贷攻击等丰富的安全研究经验,慢雾安全团队已累计审计1200多份知名智能合约,涵盖以太坊(Ethereum)、EOS、波场(TRON)、火币生态链(Heco)、币安智能链(BSC)、Fabric、唯链(VeChain)、本体(ONT)等公链平台,累计发现了数百个高危、中危安全问题。
慢雾余弦:哪怕安全审计过的DeFi都可能存在权限过大风险:慢雾科技创始人今日发微博称,哪怕安全审计过的DeFi都可能存在权限过大风险,“权限过大”一直以来是个争议,就看这些权限是什么,比如常见的:铸币、销毁、升级、关键数值调整、关键权限变更、关键风控等等,“权限过大”极端了就可能就成为某种“后门”,这个是需要警惕的。DeFi项目方有责任解释“权限过大”的意图,透明出来;安全审计公司也有义务。[2020/9/2]
基于此沉淀,慢雾针对智能合约安全审计服务全面增加Solana安全审计项。主要审计类如下:
声音 | 慢雾安全团队:建议检查充值所在的区块来避免回滚交易攻击:据 IMEOS 报道,针对凌晨出现的 BetDice 等大量头部 DApp 遭受回滚交易攻击的情况,慢雾安全团队建议 EOS 交易所及中心化钱包在通过 RPC 接口 get_actions 处理热钱包充值记录时,应检查充值 transaction 所在的 block_num 是否小于 last_irreversible_block(最新不可逆区块),如果 block_num 大于 last_irreversible_block 则表示该区块仍然是可逆的,存在“假充值”风险。[2018/12/19]
重入漏洞重放漏洞重排漏洞拒绝服务漏洞条件竞争漏洞权限控制漏洞整数上溢/下溢漏洞算术精度误差漏洞不安全的外部调用审计业务逻辑缺陷审计变量声明及作用域审计伪造账号攻击目前,慢雾已审计过多个Solana生态项目,如收益聚合平台Solyard.Finance、借贷平台Larix等。
各项目一定程度决定着生态的市场规模以及发展趋势,而智能合约作为项目的基础规则,从某种角度来说,对智能合约进行安全审计能有效地规避风险。慢雾建议各大项目在上线前先做好安全审计,一方面能让投资者更放心,另一方面能更好地避免不必要的损失,为生态蓬勃发展添一份力。
来源链接:mp.weixin.qq.com
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
慢雾
慢雾
慢雾科技是一家专注区块链生态安全的国家高新技术企业,通过「威胁发现到威胁防御一体化因地制宜的安全解决方案」服务了全球许多头部或知名的项目。慢雾科技的安全解决方案包括:安全审计、威胁情报、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反、假充值漏洞扫描、漏洞监测、被黑档案库、智能合约防火墙、SafeStaking等SAAS型安全产品,已有商业客户上千家。慢雾慢雾科技慢雾AML慢雾安全Slowmist查看更多
Gate.io已上线NFT/USDT永续合约实盘交易,支持1-20倍做多和做空操作,杠杆率可以在下单时自行选择.
1900/1/1 0:00:00亲爱的用户:Pearcoin永续合约交易的手续费分为Maker和Taker两个方向。Maker:0.05%Taker:0.05%Maker挂单挂单指的是你以指定的价格下单时,不会立即与深度列表里.
1900/1/1 0:00:00尊敬的中币用户:???为支持Neo主网升级,中币现已暂停NEO的充值及提币业务。NEO交易不受影响.
1900/1/1 0:00:00链闻消息,旨在帮助将比特币和闪电网络引入游戏领域的平台ZEBEDEE宣布完成由Lakestar领投的1150万美元A轮融资.
1900/1/1 0:00:009月10日消息,国际清算银行一位官员表示,主要央行现在应该推进数字货币项目,以避免落后于已经稳定存在的私营部门支付方式.
1900/1/1 0:00:00尊敬的用户:关于WBF在开放区掘金板块上线FLURRY/USDT交易对,具体交易时间如下。充值暂不开启提币时间:2021/9/9?15:05交易时间:2021/9/9?15:05项目介绍:Flu.
1900/1/1 0:00:00