文/ 范芊芊   来源/ PANews

近日,区块链安全公司PeckShield发现一种新型的智能合约安全漏洞“evilReflex”,攻击者可通过公开的接口窃取合约地址账户中存放的Token。

PeckShield表示,此种漏洞允许攻击者使用任意参数从存在漏洞的合约调用任何合约地址,攻击者会立刻拥有与合约地址等同的权限。在某些智能合约中,合约地址本身有可能被用于授权的目的,即部分特权操作只能够由合约地址发起,这意味着攻击者也可以执行这部分特权操作。从另外一个角度来看,如果存在该漏洞的合约地址恰巧拥有某些加密数字资产,攻击者可以很容易地窃取这些资产。

据PeckShield研究人员透露,目前已发现有数十个Token受该漏洞影响,其中部分Token已在某些顶级交易所上线并交易。PeckShield已向相关交易所通报并协助修复该问题。

6月24日下午,火币网发出公告,为保护用户资产,暂停18T和GVE充提币业务。

另外,交易的Token已经受到攻击,造成至少100个以上的代币被盗。PeckShield正在和这些代币的项目方以及交易所取得联系,并且协助他们修复该问题。

PeckShield 表示,研究人员大约在一个月前发现该漏洞,鉴于问题的敏感性和严重性,相关的漏洞细节必须在与主要的交易所协同之后才能予以公开。与此同时,@隐形人真忙等研究人员曾描述了此类漏洞的原理,并以ERC223合约作为案例展开探讨。

迄今为止,PeckShield已通过漏洞扫描系统发现了多种严重的智能合约安全漏洞。

4月下旬,PeckShield发现在多个ERC20智能合同中的新的批量溢出(batchOverflow)和代理溢出(proxyOverflow)错误,利用此漏洞,攻击者可无中生有地生成大量代币。几日后,PeckShield发现新的转移漏洞(transferFlaw),攻击者可利用此漏洞从合法持有者的账户中窃取数字资产。

5月,PeckShield研究人员发现了新的所有者任何人(ownerAnyone)漏洞,攻击者可利用此漏洞拥有某些基于ERC20的智能合同,甚至可能引发受影响智能合约的拒绝访问。同时,其研究人员还发现了在多个ERC20智能合同中的新的多重溢出( multiOverflow)和燃烧溢出 (burnOverflow)错误,这两个漏洞和批量溢出与代理溢出相似,受到攻击产生的伤害也相同。另外,PeckShield报告称,在多个加密游戏智能合同中识别出新的控制任何人(ceoAnyone)漏洞,利用该漏洞,攻击者可以替换并控制管理员的权限。两天后,PeckShield又发现新的允许任何人(allowAnyone)漏洞,该漏洞可允许攻击者盗取他人代币。

6月,PeckShield在多个ERC20智能合同中发现新的允许错误(allowFlaw)漏洞。另外,PeckShield揭露了交易陷阱(tradeTrap)漏洞的细节,目前ERC20代币在多个热门交易所被完全披露,使得他们不再受到集中控制或操纵,容易被有心之人利用购买或售出受影响的代币,从而使交易者受到损失甚至影响交易所的安全。