木星链 木星链
Ctrl+D收藏木星链

FTX:你玩的Dapp真的安全吗?Trustlook反编译平台给程序员风险提示

作者:

时间:1900/1/1 0:00:00

只要谈到区块链、以太坊就必定离不开“智能合约”这个词,由于具备了最基本的图灵完备性,开发者可以基于以太坊完成各种应用的开发。据Odaily星球日报2月25日发布的ETH周报显示,目前ETH链上Dapp开发累计至1602个,“类”、“交易所”仍然是目前ETHDapp生态中日活以及交易额最高的两大应用。智能合约为以太坊社区注入了生机,促成了生态的繁荣,但也带来了各种各种各样的安全问题。基于智能合约的各类Dapp真的靠谱吗?类游戏真的就如其说明书所言的公平吗?Odaily星球日报最近接触的安全公司Trustlook在2019年1月发布了基于二进制智能合约反编译开放平台SmartContractInsight。据Trustlook创始人AllanZhang介绍,他们认为,让区块链变得更安全的唯一路径是从工具的角度重建区块链社区——打造一个可用的工具,让区块链代码可读,漏洞可被发现,从而做到真正的开源和共建。很多Dapp的合约都没有开源,或是处于半开源状态,对用户来说,代码是否安全需要考量。机器语言是用二进制代码表示的一种计算机能直接识别和执行的一种机器指令,在智能合约中,业界称为二进制的EVM代码。也就是说,在目前的状况下,社区里的开发者如果对某一份智能合约产生了兴趣,想要去了解它的功能甚至查找漏洞,只能够接触到二进制代码,对于大部分程序员而言,这是较大的障碍。

加密货币投资公司Midas在亏损后关闭平台:金色财经报道,由于Celsius和FTX的破产,导致专注于DeFi收益的加密货币投资公司Midas超过60%的管理资产陷入困境,该公司在遭遇重大投资亏损后不得不关闭平台。

Midas首席执行官兼创始人Iakov“Trevor” Levin已在博客文章中确认了此事,并表示去年春天旗下DeFi投资组合就损失了5000万美元,占其2.5亿美元管理资产(AUM)的20%,在Celsius和FTX破产后,60%的管理资产又遭到打击。不过,Iakov“Trevor” Levin透露,通过将竞争协议与流动性联系起来,他们后续将会专注于一个“符合对集中式去中心化金融(CeDeFi)愿景”的新项目。(coindesk)[2022/12/28 22:11:40]

未编译的机器代码长这样“反编译开放平台”这个概念听起来有点拗口,简单来讲就是将二进制的机器代码或通过合约地址逆向成人类可读的计算机高级语言,并根据结果作出风险提示。目前提出的漏洞包括:整数数值溢出漏洞、重入攻击漏洞、外部调用返回值未校验漏洞、tx.origin依赖漏洞以及时间戳依赖漏洞等,用灰底的“//ISSUE:”提醒。据介绍,整数数值漏洞说明币有无限增发风险;重入攻击最有名,著名的DAOattack就是这个漏洞造成的,它最造成攻击者重复调用取款函数,一直将合约账户中的所有代币取走;外部调用返回值是指,智能合约在地址上执行操作的底层方法,比如:address.call()、address.callcode()、address.delegatecall()和address.send。这些底层方法不会抛出异常(throw),只是会在遇到错误时返回false。在合约中调用外部合约时,应该对返回值进行判断。如果没有判断,那么调用者可能会误判交易是否成功,对于交易所造成财产损失;tx.origin依赖漏洞是指,不慎使用tx.origin进行鉴权认证有可能带来钓鱼攻击。时间戳依赖漏洞指的是一些类的Dapp使用时间戳来生成随机数,会造成类应用结果可预测,这样攻击者可以直接赢得的奖励。举个例子,我们从以太坊上选择一个211b合约地址,如:0x20B5c52d43a87ae8B375670d47D572681753211b,将这个合约地址用SmartContractInsight平台“破解”,可以得到:

孙宇晨:正与FTX一起制定解决方案以支持FTX上Tron系Token:11月10日消息,孙宇晨在其社交平台表示,正与FTX一起制定解决方案以支持FTX上Tron系Token(TRX、BTT、JST、SUN、HT),其团队正在积极工作以避免情况恶化,目前情况可控。

此前报道,11月9日,Huobi官方公告,Huobi、波场DAO宣布将永久1:1刚性承兑所有FTX平台内波场系Token(TRX、BTT、JST、SUN、HT),用户需填写表单并登记Huobi账户,Huobi将以此作为根据,与FTX平台协调对账关于TRX、BTT、JST、SUN、HT的提现事宜。[2022/11/10 12:42:33]

编译后的高级语言及风险提示SmartContractInsight平台在提醒时用提醒风险或异常,方便判别合约安全性。我们可以看到,刚刚的合约地址反编译后得到的代码有整数溢出风险,也就是说,如果这是一个发币平台,就意味着这个币有无限增发的风险。目前SmartContractInsight平台免费开放,但如果对二进制合约有更详尽的了解需求,平台也提供人工审核部分,收部分安全费用。目前该平台支持以太坊或基于EVM代码的合约检测。作为工具,操作非常简单,但如果能根据编译结果沉淀出一些分析结果或许更好。智能合约的安全问题一直被行业关注。此前,安全公司CertiK发布智能合约自动检测引擎CertiKAutoScanEngine,并对Etherscan平台进行了技术集成与大规模的通证安全检测;评级机构RatingToken面向C端上线其智能合约查询检测功能,同时为B端提供智能合约实时监测功能。Trustlook是位于硅谷的移动安全解决方案提供商,多年来服务于华为、亚马逊、高通等一线软硬件厂商,创始人AllanZhang曾是PaloAltoNetwork的创始安全工程师,团队目前17人,均属研发团队。公司于2015年完成1700万美元A轮融资,挚信资本领投,星元资本、线性资本等跟投。我是Odaily星球日报记者遂心,加好友烦请备注姓名、单位、职务和事由。

纽约市安全副市长称其比特币和以太坊购买价值最高为15万美元:8月16日消息,根据纽约市利益冲突委员披露,纽约市负责公共安全的副市长 Phil Banks 的资产和投资在 2021 年价值高达 645 万美元,另外,Phil Banks 表示其购买过价值 1.5 万美元至 15 万美元的比特币和以太坊。(彭博社)[2022/8/16 12:28:56]

Tether、Bitfinex与Hypercore已对Web3开发平台Holepunch投入1000万美元:7月26日消息,USDT发行商Tether、加密交易平台Bitfinex与Hypercore开源协议团队已对Web3开发平台Holepunch投入1000万美元,并可能还会带来数千万美元的额外投资。

昨日报道,USDT发行商Tether、加密交易平台Bitfinex与Hypercore开源协议团队合作推出基于底层技术Holepunch的点对点(P2P)加密通信应用Keet。目前该应用为Alpha版本,移动端预计将于2022年11月推出。(Decrypt)[2022/7/26 2:37:46]

标签:FTXETH以太坊APPMOONCAT Vault (NFTX)METH价格以太坊和瑞波币在中国合法吗bitkeeporg钱包app下载

以太坊价格热门资讯
亦来云:亦来云被美国投资者起诉?陈榕否认收到传票,反称收到律师恐吓信

据CryptoBriefing报道,亦来云和火币可能面临法律诉讼,此前参与过亦来云ICO活动的投资者指控其在未经授权的情况下出售代币.

1900/1/1 0:00:00
加密货币:纳斯达克如何评估加密货币交易所?不作假才能让市场繁荣

译者|Moni编辑|孙瑞丽对于市场上绝大多数加密货币交易所来说,最头疼的问题莫过于鉴别虚假交易。不过现在,纳斯达克希望利用其技术优势帮助交易所摆脱这些难题.

1900/1/1 0:00:00
GOX:门头沟剩余资产20亿,法胖和富豪 Brock Pierce开启抢夺模式

编者按:本文来自区块律动BlockBeats,作者:0x28,星球日报经授权发布。历时6年的85万比特币被盗案仍得不到相对合理的解决,涉嫌监守自盗的嫌疑人即将恢复到入狱前的肥胖体形,投资者们的加.

1900/1/1 0:00:00
ETH:ETH周报 | ETC 回归 ETH;价格短期震荡,长期看涨 (3.4-3.10)

作者|秦晓峰编辑|卢晓明\n一、整体概述本周,ETC官方也宣布,ETC很快将以一种名为“TETC”的独特代币在以太坊区块链上实现代币化.

1900/1/1 0:00:00
THE:「互联网vs区块链革命」系列之四:新概念,估值和时机

《互联网vs区块链革命》系列之四:新概念,估值和时机八维研究院八维区块链互联网革命vs区块链革命系列前言马克吐温曾经说过:“历史不会重演,但它确实会押韵”.

1900/1/1 0:00:00
比特币:杨林科:牛熊的历史在重演 | 「牛熊启示录」

继2018年10月推出高端视频访谈节目《直面大佬》采访知名比特币投资人李笑来之后,博链财经又携手36氪独家战略合作媒体《Odaily|星球日报》推出深度在线互动访谈栏目——《牛熊启示录》.

1900/1/1 0:00:00