目前区块链市场越做越大,很多服务都在使用区块链技术,跟上区块链的大潮,在高速
发展的同时,区块链的安全问题也日益严重,2018年上半年ATN区块链平台被爆出高危的区块
链漏洞,我们来看下这个ATN到底是如何产生漏洞,分析及如何修复漏洞的。
ATN区块链平台是全世界第一个区块链技术融入人工智能的一个平台,去中心化,没有任何授
权,客户可以自己使用智能接口来进行与区块链相连接的一个虚拟币平台。该平台使用的是公
有链安全机制,使用的是oracle数据库,可以跨域,跨区的区块链平台,使用石墨烯的最新技
术来实现用户高并发的请求,也算是人工智能领域最强大的区块链服务商,可以为很多的安卓
,IOS,APP用户提供区块链服务。
权,客户可以自己使用智能接口来进行与区块链相连接的一个虚拟币平台。该平台使用的是公
有链安全机制,使用的是oracle数据库,可以跨域,跨区的区块链平台,使用石墨烯的最新技
术来实现用户高并发的请求,也算是人工智能领域最强大的区块链服务商,可以为很多的安卓
,IOS,APP用户提供区块链服务。
关于这次漏洞的产生,是被区块链安全中心检测发现,攻击者利用ERC的合约进行伪造恶意代
码函数,对服务器进行攻击,因合约开放自定义的代码,导致攻击者绕过WAF防火墙,直接插
入攻击代码从而绕过权限,导致漏洞的发生。
码函数,对服务器进行攻击,因合约开放自定义的代码,导致攻击者绕过WAF防火墙,直接插
入攻击代码从而绕过权限,导致漏洞的发生。
区块链漏洞的详情
ATN区块链使用的合约是基于erc20以及加密值token算法的基础进行开发的合约,在开发的过
程当中ATN使用了自己开发人员的anth库,为了转币的安全考虑,才使用这套合约,每次虚拟
币转账的时候都会首先确认授权权限,然后才能进行转账功能,当转币为人工智能合约,那么
就会使用随机的token值进行判断,并写入到oracle数据库中,当token唯一时,转币才能成功。
我们来看下合约的代码到底是如何写的:
程当中ATN使用了自己开发人员的anth库,为了转币的安全考虑,才使用这套合约,每次虚拟
币转账的时候都会首先确认授权权限,然后才能进行转账功能,当转币为人工智能合约,那么
就会使用随机的token值进行判断,并写入到oracle数据库中,当token唯一时,转币才能成功。
我们来看下合约的代码到底是如何写的:
从上述代码可以看出,转币使用的合约做了详细的安全过滤,防止非法的参数写进来,但是在
远程调用对方身份信息的过程当中,并没有进行安全拦截,导致在转币的过程中可以插入恶意
代码,使用custom_call函数来进行攻击,攻击者远程伪造调用了自己的ATN转币地址,使其他
人转币的时候直接转币到攻击者的账户中去。
远程调用对方身份信息的过程当中,并没有进行安全拦截,导致在转币的过程中可以插入恶意
代码,使用custom_call函数来进行攻击,攻击者远程伪造调用了自己的ATN转币地址,使其他
人转币的时候直接转币到攻击者的账户中去。
目前ATN区块链平台已经修复此漏洞,该漏洞导致的转币损失已与开发者进行协商处理,损失降
到了最低,也由此看出目前的区块链平台多多少少都存在着漏洞,只要是高危漏洞都会对币价有
所影响,目前比特币,以太坊,市场刚刚回暖,是否是牛市要看未来整个区块链市场的发展,以
及有多少服务在使用区块链技术。
到了最低,也由此看出目前的区块链平台多多少少都存在着漏洞,只要是高危漏洞都会对币价有
所影响,目前比特币,以太坊,市场刚刚回暖,是否是牛市要看未来整个区块链市场的发展,以
及有多少服务在使用区块链技术。
