文/ 範芊芊 來源/ PANews
6月28日凌晨3時,在剛剛結束的矽谷Blockchain Connect Conference大會現場,區塊鏈安全公司PeckShield披露了一個能夠造成以太坊受影響geth節點瞬間休克或崩潰的安全漏洞。
PeckShield將披露的漏洞命名為“Ethereum Packet of Death(EPoD)”,即“致命報文”,攻擊者通過發送一個惡意報文即可向geth節點發動攻擊。 geth是以太坊主流的官方客戶端,被眾多重要節點採用,這也意味著一旦攻擊者利用此漏洞實施攻擊,涉及到的相關重要節點隨時可能停擺。對整個以太坊網絡來說,這樣的漏洞如若被用來開展惡性競爭,將擾亂市場秩序,造成不可估量的嚴重損失。
迄今為止,PeckShield已通過漏洞掃描系統發現了多種嚴重的智能合約安全漏洞。
4月下旬,PeckShield發現在多個ERC20智能合同中的新的批量溢出(batchOverflow)和代理溢出(proxyOverflow)錯誤,利用此漏洞,攻擊者可無中生有地生成大量代幣。幾日後,PeckShield發現新的轉移漏洞(transferFlaw),攻擊者可利用此漏洞從合法持有者的賬戶中竊取數字資產。
5月,PeckShield研究人員發現了新的所有者任何人(ownerAnyone)漏洞,攻擊者可利用此漏洞擁有某些基於ERC20的智能合同,甚至可能引發受影響智能合約的拒絕訪問。同時,其研究人員還發現了在多個ERC20智能合同中的新的多重溢出( multiOverflow)和燃燒溢出(burnOverflow)錯誤,這兩個漏洞和批量溢出與代理溢出相似,受到攻擊產生的傷害也相同。另外,PeckShield報告稱,在多個加密遊戲智能合同中識別出新的控制任何人(ceoAnyone)漏洞,利用該漏洞,攻擊者可以替換並控制管理員的權限。兩天后,PeckShield又發現新的允許任何人(allowAnyone)漏洞,該漏洞可允許攻擊者盜取他人代幣。
6月,PeckShield在多個ERC20智能合同中發現新的允許錯誤(allowFlaw)漏洞。另外,PeckShield揭露了交易陷阱(tradeTrap)漏洞的細節,目前ERC20代幣在多個熱門交易所被完全披露,使得他們不再受到集中控製或操縱,容易被有心之人利用購買或售出受影響的代幣,從而使交易者受到損失甚至影響交易所的安全。同時,四天前,PeckShield發現了一種新型的智能合約安全漏洞“evilReflex”,攻擊者可通過公開的接口竊取合約地址賬戶中存放的Token。