文/ 範芊芊 來源/ PANews

近日,區塊鏈安全公司PeckShield發現一種新型的智能合約安全漏洞“evilReflex”,攻擊者可通過公開的接口竊取合約地址賬戶中存放的Token。

PeckShield表示,此種漏洞允許攻擊者使用任意參數從存在漏洞的合約調用任何合約地址,攻擊者會立刻擁有與合約地址等同的權限。在某些智能合約中,合約地址本身有可能被用於授權的目的,即部分特權操作只能夠由合約地址發起,這意味著攻擊者也可以執行這部分特權操作。從另外一個角度來看,如果存在該漏洞的合約地址恰巧擁有某些加密數字資產,攻擊者可以很容易地竊取這些資產。

據PeckShield研究人員透露,目前已發現有數十個Token受該漏洞影響,其中部分Token已在某些頂級交易所上線並交易。 PeckShield已向相關交易所通報並協助修復該問題。

6月24日下午,火幣網發出公告,為保護用戶資產,暫停18T和GVE充提幣業務。

另外,交易的Token已經受到攻擊,造成至少100個以上的代幣被盜。 PeckShield正在和這些代幣的項目方以及交易所取得聯繫,並且協助他們修復該問題。

PeckShield 表示,研究人員大約在一個月前發現該漏洞,鑑於問題的敏感性和嚴重性,相關的漏洞細節必須在與主要的交易所協同之後才能予以公開。與此同時,@隱形人真忙等研究人員曾描述了此類漏洞的原理,並以ERC223合約作為案例展開探討。

迄今為止,PeckShield已通過漏洞掃描系統發現了多種嚴重的智能合約安全漏洞。

4月下旬,PeckShield發現在多個ERC20智能合同中的新的批量溢出(batchOverflow)和代理溢出(proxyOverflow)錯誤,利用此漏洞,攻擊者可無中生有地生成大量代幣。幾日後,PeckShield發現新的轉移漏洞(transferFlaw),攻擊者可利用此漏洞從合法持有者的賬戶中竊取數字資產。

5月,PeckShield研究人員發現了新的所有者任何人(ownerAnyone)漏洞,攻擊者可利用此漏洞擁有某些基於ERC20的智能合同,甚至可能引發受影響智能合約的拒絕訪問。同時,其研究人員還發現了在多個ERC20智能合同中的新的多重溢出( multiOverflow)和燃燒溢出(burnOverflow)錯誤,這兩個漏洞和批量溢出與代理溢出相似,受到攻擊產生的傷害也相同。另外,PeckShield報告稱,在多個加密遊戲智能合同中識別出新的控制任何人(ceoAnyone)漏洞,利用該漏洞,攻擊者可以替換並控制管理員的權限。兩天后,PeckShield又發現新的允許任何人(allowAnyone)漏洞,該漏洞可允許攻擊者盜取他人代幣。

6月,PeckShield在多個ERC20智能合同中發現新的允許錯誤(allowFlaw)漏洞。另外,PeckShield揭露了交易陷阱(tradeTrap)漏洞的細節,目前ERC20代幣在多個熱門交易所被完全披露,使得他們不再受到集中控製或操縱,容易被有心之人利用購買或售出受影響的代幣,從而使交易者受到損失甚至影響交易所的安全。