BTCMedia亚太区CTO古千峰:合约开发者不能信任用户提供的数据

昨日,降维安全实验室监测到,成人娱乐系统spankchain支付通道(paymentchannel)关联的智能合约LedgerChannel遭到了重入攻击,DAO损失1.2亿美金的“重入漏洞”重现江湖

昨日,降维安全实验室监测到,成人娱乐系统spankchain支付通道(payment channel)关联的智能合约LedgerChannel遭到了重入攻击,DAO损失1.2亿美金的“重入漏洞” 重现江湖。 对此BTCMedia亚太区CTO古千峰给出两点提示:1.合约开发者不能信任任何用户提供的数据,包括但不限于public/external函数的入参,回调合约的地址等。 2.关键操作必须原子化, 譬如在以太币/代币转账成功后,对应账户的余额修改必须立即执行,假如转账失败,必须通过 revert()等操作抛出异常,回滚状态。

生成图片
11

发表评论

BTCMedia亚太区CTO古千峰:合约开发者不能信任用户提供的数据

星期四 2018-10-11 8:06:56

昨日,降维安全实验室监测到,成人娱乐系统spankchain支付通道(payment channel)关联的智能合约LedgerChannel遭到了重入攻击,DAO损失1.2亿美金的“重入漏洞” 重现江湖。 对此BTCMedia亚太区CTO古千峰给出两点提示:1.合约开发者不能信任任何用户提供的数据,包括但不限于public/external函数的入参,回调合约的地址等。 2.关键操作必须原子化, 譬如在以太币/代币转账成功后,对应账户的余额修改必须立即执行,假如转账失败,必须通过 revert()等操作抛出异常,回滚状态。