安全专家hardman:波场DApp假币攻击并非个案

波场公链Dapp:TronBank被报遭假币攻击,1小时内被盗约1.7亿枚BTT。针对此事件,北京链安安全专家hardman表示,本次发生的假币漏洞不是个例,类似的事件已经在其它公链发生过多起,主要分为假充值漏洞和假币漏洞。

安全专家hardman:波场DApp假币攻击并非个案

波场公链Dapp:TronBank被报遭假币攻击,1小时内被盗约1.7亿枚BTT。针对此事件,北京链安安全专家hardman表示,本次发生的假币漏洞不是个例,类似的事件已经在其它公链发生过多起,主要分为假充值漏洞和假币漏洞。

安全专家hardman:波场DApp假币攻击并非个案

假充值漏洞如usdt、以太坊假充值漏洞,由于平台交易所或者DAPP项目方在充值逻辑没有对函数的返回结构中特定参数做解析校验,并且没有做账户余额是否正确增加的二次判断。如usdt充值需要校验区块链上的交易详情valid字段为true,并且应该等区块2个确认后二次确认充值地址余额增加。假币漏洞如eos公链上的多个dapp曾经也发生过假币漏洞。

安全专家hardman:波场DApp假币攻击并非个案

假币漏洞由于平台交易所或者DAPP项目方充值逻辑没有对充值代币的关联信息(如真实代币的id,代币的发行合约地址)做详细校验。攻击者通过发行同样代币名称的代币便可以实现假币充值。在这里需要说明的是,目前所有的假币漏洞或者假充值漏洞都是由于开发者代码编写不当导致的,公链和代币本身并没有漏洞

北京链安网络科技有限公司,聚焦区块链生态安全,提供包括不限于交易所、钱包、主链和矿池的安全服务,并向区块链在政务、金融、征信、物联网、商品溯源等领域的行业应用提供全面的安全解决方案,旨在为区块链生态提供全面的安全能力。

北京链安团队具备完善的公链漏洞挖掘和项目代码审计能力,可提供全面的链上数据监测和项目代码审计服务,曾经协助EOS、以太坊等知名公链官方发现并修复漏洞。北京链安更有行业领先的C端安全能力,在APP代码防破解能力、本地存储数据安全、漏洞检测、开发及审计等C端底层安全方面均具有成熟的安全方案。

生成图片
5

发表评论

安全专家hardman:波场DApp假币攻击并非个案

星期四 2019-04-11 18:06:37

安全专家hardman:波场DApp假币攻击并非个案

波场公链Dapp:TronBank被报遭假币攻击,1小时内被盗约1.7亿枚BTT。针对此事件,北京链安安全专家hardman表示,本次发生的假币漏洞不是个例,类似的事件已经在其它公链发生过多起,主要分为假充值漏洞和假币漏洞。

安全专家hardman:波场DApp假币攻击并非个案

假充值漏洞如usdt、以太坊假充值漏洞,由于平台交易所或者DAPP项目方在充值逻辑没有对函数的返回结构中特定参数做解析校验,并且没有做账户余额是否正确增加的二次判断。如usdt充值需要校验区块链上的交易详情valid字段为true,并且应该等区块2个确认后二次确认充值地址余额增加。假币漏洞如eos公链上的多个dapp曾经也发生过假币漏洞。

安全专家hardman:波场DApp假币攻击并非个案

假币漏洞由于平台交易所或者DAPP项目方充值逻辑没有对充值代币的关联信息(如真实代币的id,代币的发行合约地址)做详细校验。攻击者通过发行同样代币名称的代币便可以实现假币充值。在这里需要说明的是,目前所有的假币漏洞或者假充值漏洞都是由于开发者代码编写不当导致的,公链和代币本身并没有漏洞

北京链安网络科技有限公司,聚焦区块链生态安全,提供包括不限于交易所、钱包、主链和矿池的安全服务,并向区块链在政务、金融、征信、物联网、商品溯源等领域的行业应用提供全面的安全解决方案,旨在为区块链生态提供全面的安全能力。

北京链安团队具备完善的公链漏洞挖掘和项目代码审计能力,可提供全面的链上数据监测和项目代码审计服务,曾经协助EOS、以太坊等知名公链官方发现并修复漏洞。北京链安更有行业领先的C端安全能力,在APP代码防破解能力、本地存储数据安全、漏洞检测、开发及审计等C端底层安全方面均具有成熟的安全方案。