買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > SAND > Info

TIN:你玩的Dapp真的安全嗎?Trustlook反編譯平臺給程序員風險提示_APP

Author:

Time:1900/1/1 0:00:00

只要談到區塊鏈、以太坊就必定離不開“智能合約”這個詞,由于具備了最基本的圖靈完備性,開發者可以基于以太坊完成各種應用的開發。據Odaily星球日報2月25日發布的ETH周報顯示,目前ETH鏈上Dapp開發累計至1602個,“類”、“交易所”仍然是目前ETHDapp生態中日活以及交易額最高的兩大應用。智能合約為以太坊社區注入了生機,促成了生態的繁榮,但也帶來了各種各種各樣的安全問題。基于智能合約的各類Dapp真的靠譜嗎?類游戲真的就如其說明書所言的公平嗎?Odaily星球日報最近接觸的安全公司Trustlook在2019年1月發布了基于二進制智能合約反編譯開放平臺SmartContractInsight。據Trustlook創始人AllanZhang介紹,他們認為,讓區塊鏈變得更安全的唯一路徑是從工具的角度重建區塊鏈社區——打造一個可用的工具,讓區塊鏈代碼可讀,漏洞可被發現,從而做到真正的開源和共建。很多Dapp的合約都沒有開源,或是處于半開源狀態,對用戶來說,代碼是否安全需要考量。機器語言是用二進制代碼表示的一種計算機能直接識別和執行的一種機器指令,在智能合約中,業界稱為二進制的EVM代碼。也就是說,在目前的狀況下,社區里的開發者如果對某一份智能合約產生了興趣,想要去了解它的功能甚至查找漏洞,只能夠接觸到二進制代碼,對于大部分程序員而言,這是較大的障礙。

英國央行行長:BTC類型的加密貨幣最好視為極具投機性的資產:金色財經報道,英國央行行長貝利表示,盡管有數字貨幣的出現,現金仍將存在。穩定幣不具備穩健性,不符合安全貨幣的標準。推出零售央行數字貨幣的主要動機是確保公眾擁有可以在日常生活中使用的央行貨幣。比特幣類型的加密貨幣最好視為極具投機性的資產。[2023/7/11 10:46:56]

未編譯的機器代碼長這樣“反編譯開放平臺”這個概念聽起來有點拗口,簡單來講就是將二進制的機器代碼或通過合約地址逆向成人類可讀的計算機高級語言,并根據結果作出風險提示。目前提出的漏洞包括:整數數值溢出漏洞、重入攻擊漏洞、外部調用返回值未校驗漏洞、tx.origin依賴漏洞以及時間戳依賴漏洞等,用灰底的“//ISSUE:”提醒。據介紹,整數數值漏洞說明幣有無限增發風險;重入攻擊最有名,著名的DAOattack就是這個漏洞造成的,它最造成攻擊者重復調用取款函數,一直將合約賬戶中的所有代幣取走;外部調用返回值是指,智能合約在地址上執行操作的底層方法,比如:address.call()、address.callcode()、address.delegatecall()和address.send。這些底層方法不會拋出異常(throw),只是會在遇到錯誤時返回false。在合約中調用外部合約時,應該對返回值進行判斷。如果沒有判斷,那么調用者可能會誤判交易是否成功,對于交易所造成財產損失;tx.origin依賴漏洞是指,不慎使用tx.origin進行鑒權認證有可能帶來釣魚攻擊。時間戳依賴漏洞指的是一些賭博類的Dapp使用時間戳來生成隨機數,會造成類應用結果可預測,這樣攻擊者可以直接贏得的獎勵。舉個例子,我們從以太坊上選擇一個211b合約地址,如:0x20B5c52d43a87ae8B375670d47D572681753211b,將這個合約地址用SmartContractInsight平臺“破解”,可以得到:

推特將為客戶公司提供更多的廣告投放控制權:12月9日消息,推特將引入新的控制措施,允許客戶公司防止廣告出現在含有特定關鍵詞的推文上方或下方,以吸引更多廣告商回到該平臺。自馬斯克接管推特以來,已有一系列公司都暫停了在該平臺上投放廣告。推特周四在一封電子郵件中告訴廣告商,新工具最早將于下周推出。報道中稱,推特的一名代表告訴廣告商,公司正在考慮將其內容審核人員引入內部,以擴大其非英語審核業務。不過推特沒有立即回應置評請求。(金十)[2022/12/9 21:33:30]

編譯后的高級語言及風險提示SmartContractInsight平臺在提醒時用提醒風險或異常,方便判別合約安全性。我們可以看到,剛剛的合約地址反編譯后得到的代碼有整數溢出風險,也就是說,如果這是一個發幣平臺,就意味著這個幣有無限增發的風險。目前SmartContractInsight平臺免費開放,但如果對二進制合約有更詳盡的了解需求,平臺也提供人工審核部分,收部分安全費用。目前該平臺支持以太坊或基于EVM代碼的合約檢測。作為工具,操作非常簡單,但如果能根據編譯結果沉淀出一些分析結果或許更好。智能合約的安全問題一直被行業關注。此前,安全公司CertiK發布智能合約自動檢測引擎CertiKAutoScanEngine,并對Etherscan平臺進行了技術集成與大規模的通證安全檢測;評級機構RatingToken面向C端上線其智能合約查詢檢測功能,同時為B端提供智能合約實時監測功能。Trustlook是位于硅谷的移動安全解決方案提供商,多年來服務于華為、亞馬遜、高通等一線軟硬件廠商,創始人AllanZhang曾是PaloAltoNetwork的創始安全工程師,團隊目前17人,均屬研發團隊。公司于2015年完成1700萬美元A輪融資,摯信資本領投,星元資本、線性資本等跟投。我是Odaily星球日報記者遂心,加好友煩請備注姓名、單位、職務和事由。

男裝品牌Psycho Bunny推出NFT:9月10日消息,男裝品牌Psycho Bunny與街頭藝術家Buff Monster獨家合作,推出了兩個背靠背版本的100款限量版NFT和5款唯一的NFT。(PR Web)[2022/9/11 13:22:14]

百度超級鏈將推出首個可跨鏈數字藏品:金色財經報道,8月30日,百度超級鏈即將推出首個可跨鏈數字藏品。領取該藏品的用戶可通過百度超級鏈操作平臺資產組件,自主選擇將藏品對接到其他區塊鏈生態,實現價值流通。

跨鏈是區塊鏈互聯互通的關鍵一環。有人稱跨鏈為Web3.0世界里的“橋”,連接不同鏈上的數據和資產,進行價值傳遞和數據可信流轉。各種底鏈生態因為“跨鏈”更加去中心化,信息和數據也因為跨鏈更加公開透明、安全可信。[2022/8/25 12:47:49]

Tags:區塊鏈TINAPP以太坊區塊鏈的未來發展前景論文STINK幣APPLE幣以太坊幣現在的價格是多少

SAND
區塊鏈:比特幣增發警示錄_DAILY

最近,比特幣增發事件沸沸揚揚。起因來自中本聰的圓桌會議上,一個名為Matt的外來開發者提出停止比特幣減半機制:其理由在比特幣多次減半的過程中,礦工手續費減少將導致礦工銳減,這將導致比特幣網絡面臨.

1900/1/1 0:00:00
NFT:現代密碼學加密原理_MET

密碼學是在區塊鏈技術中承擔著非常重要的角色,但其實,在互聯網中,也大量的使用著密碼學的技術,本文將介紹現代密碼學中的早期加密方法,這將有助于我們理解區塊鏈中的復雜算法.

1900/1/1 0:00:00
加密貨幣:星球日報 | 徐明星收購港股上市公司;ETH升級討論將于北京時間今晚22時進行_加密貨幣市場分析報告

頭條 習近平雄安考察見聞:區塊鏈等高科技智能平臺追溯樹木生命周期管理1月16日,習近平2019年首次國內考察第一站來到了河北雄安新區。在習近平這次考察的路線上,一些智能環保“神器”隨處可見.

1900/1/1 0:00:00
ERK:以太坊是如何運作的?(一)_區塊鏈

前言:本文主要闡述當前以太坊的具體運作原理,有助于我們理解以太坊背后的各種概念和操作,適合初學者閱讀。介紹不管你是否了解它究竟是什么,也許你已經聽說過以太坊區塊鏈。因為它在新聞中經常出現.

1900/1/1 0:00:00
GAN:摩根大通早就研發了自己的鏈,發個幣咋了?_區塊鏈存證說法錯誤的是

前天我的朋友圈被兩件事情刷了屏,一個是關于亞馬遜取消遷都紐約,還有一個就是JPMorgan發行了他們自己的數字貨幣.

1900/1/1 0:00:00
Chain:分布與共識 | 囚徒困境與納什均衡_Orbit Chain

—囚徒困境博弈論合作激勵—我們很多人看過中國導演姜文的《讓子彈飛》,電影中姜文飾演的綠林俠匪張麻子和他的兄弟們,希望通過喚起民眾的斗爭意識除掉欺壓百姓的鵝城惡霸黃四郎.

1900/1/1 0:00:00
ads