文/ 范芊芊 来源/ PANews
6月28日凌晨3时,在刚刚结束的硅谷Blockchain Connect Conference大会现场,区块链安全公司PeckShield披露了一个能够造成以太坊受影响geth节点瞬间休克或崩溃的安全漏洞。
PeckShield将披露的漏洞命名为“Ethereum Packet of Death(EPoD)”,即“致命报文”,攻击者通过发送一个恶意报文即可向geth节点发动攻击。geth是以太坊主流的官方客户端,被众多重要节点采用,这也意味着一旦攻击者利用此漏洞实施攻击,涉及到的相关重要节点随时可能停摆。对整个以太坊网络来说,这样的漏洞如若被用来开展恶性竞争,将扰乱市场秩序,造成不可估量的严重损失。
迄今为止,PeckShield已通过漏洞扫描系统发现了多种严重的智能合约安全漏洞。
4月下旬,PeckShield发现在多个ERC20智能合同中的新的批量溢出(batchOverflow)和代理溢出(proxyOverflow)错误,利用此漏洞,攻击者可无中生有地生成大量代币。几日后,PeckShield发现新的转移漏洞(transferFlaw),攻击者可利用此漏洞从合法持有者的账户中窃取数字资产。
5月,PeckShield研究人员发现了新的所有者任何人(ownerAnyone)漏洞,攻击者可利用此漏洞拥有某些基于ERC20的智能合同,甚至可能引发受影响智能合约的拒绝访问。同时,其研究人员还发现了在多个ERC20智能合同中的新的多重溢出( multiOverflow)和燃烧溢出 (burnOverflow)错误,这两个漏洞和批量溢出与代理溢出相似,受到攻击产生的伤害也相同。另外,PeckShield报告称,在多个加密游戏智能合同中识别出新的控制任何人(ceoAnyone)漏洞,利用该漏洞,攻击者可以替换并控制管理员的权限。两天后,PeckShield又发现新的允许任何人(allowAnyone)漏洞,该漏洞可允许攻击者盗取他人代币。
6月,PeckShield在多个ERC20智能合同中发现新的允许错误(allowFlaw)漏洞。另外,PeckShield揭露了交易陷阱(tradeTrap)漏洞的细节,目前ERC20代币在多个热门交易所被完全披露,使得他们不再受到集中控制或操纵,容易被有心之人利用购买或售出受影响的代币,从而使交易者受到损失甚至影响交易所的安全。同时,四天前,PeckShield发现了一种新型的智能合约安全漏洞“evilReflex”,攻击者可通过公开的接口窃取合约地址账户中存放的Token。