ETA:SoMo:识别以太坊智能合约中不安全函数修饰符的创新工具_Binance Wrapped BTC

作者:MetaTrustLabs

Web3安全服务提供商MetaTrustLabs最近完成的一项研究发现了以太坊智能合约中自定义函数修饰符存在的重大安全风险。在题为“Beyond'Protected'and'Private':AnEmpiricalSecurityAnalysisofCustomFunctionModifiersinSmartContracts”的ISSTA'23论文中,研究团队检查了超过62,000个智能合约,发现有411个包含可以绕过修饰符的易受攻击合约。为了解决这些问题,MetaTrust已将新开发的工具SoMo集成到其知名的智能合约安全扫描服务MetaScan中。

卢森堡竞争管理机构:要确保Web3参与者能够在一个有效且具有竞争力的市场中发展:金色财经报道,卢森堡竞争管理机构研究人员Autorité de la concurrence在一份声明中表示,鉴于该行业的强大潜力,重要的是要确保 Web3 参与者能够在一个有效且具有竞争力的市场中发展。竞争市场研究从活跃于该行业的公司收集有关特定市场运作方式的信息,并且可以作为对违反反托拉斯规则(例如滥用支配地位)的行为采取进一步执法行动的基础。这项研究将基于区块链的公司在何处以及如何与现有的 Web2 互联网公司竞争,并记录针对 Web3 项目实施的反竞争的做法。[2023/6/7 21:20:22]

这项研究的主要目的是识别不安全的修饰符,即“可绕过修饰符”,这些修饰符可以在一个或多个未受保护的智能合约函数中绕过。例如,以下“onlyOwner”修饰符可以通过调用公共函数Mining24()来绕过。因此,攻击者可以利用受onlyOwner修饰符保护的敏感函数。

Optimism将于7月13日选出为治理系统构建核心基础设施的提案:6月2日消息,Layer2解决方案Optimism发推文称,社区已为Optimism Collective构建核心基础设施提出多个提案,包括动态委托证明#60 RFP提案、零知识证明研究#63 RFP提案、DAO档案维护#1 RFP提案、行为准则执行#2 RFP提案、链上治理系统V2合约#64 RFP提案等,这些RFP的提案应在6月28日前提交。基金会将在7月13日之前选出一份方案来承担这项工作。其他提案仍可在6月21日前提交。[2023/6/2 11:53:53]

为了识别这些漏洞,研究人员开发了一种新的工具SoMo,它构建修饰符依赖图以涵盖所有与修饰符相关的控制/数据流,在MDG上生成符号路径约束,并迭代测试每个候选入口函数。结果表明,SoMo在分析大型数据集中的62464个合约时的精度达91.2%。

Jump Trading将300万枚LDO转至新地址,约合690万美元:5月18日消息,据Lookonchain监测数据显示,Jump Trading于7小时前将300万枚LDO(690万美元)转移到新地址0x0ee7,然后将7366枚LDO(1.7万美元)存入Binance。

Jump Trading于2021年5月10日花费1207枚ETH(476万美元)以0.85美元的价格购买了559万枚LDO;然后在一年的锁定期后,以2.29美元均价将336万枚LDO(770万美元)转移到Binance和KuCoin。Jump Trading的另一个主要钱包于2022年8月9日开始从交易平台提取LDO,并以2.42美元均价提出总计244万枚的LDO(590万美元)。[2023/5/18 15:10:47]

这项研究还揭示了修饰符在现实场景中的主要用途,包括访问控制、与金融相关的、合约状态和杂项检查,如下表所示。这些发现表明,开发人员常常利用修饰符进行安全敏感操作,但它们可能未得到很好的保护。

总体而言,要确保区块链技术安全可靠,还有许多工作要做。通过使用更好的编程技术和测试工具,我们可以帮助防止对智能合约的攻击,并保护我们的数字交易安全。随着更多企业和组织采用区块链技术进行各种应用,确保智能合约安全可靠至关重要。这项研究是实现这一目标的重要一步。

尽管区块链技术有望彻底改变许多行业,但安全性应该始终是最优先考虑的因素。通过使用像MetaScan这样的工具和遵循安全编程的最佳实践,我们可以帮助确保区块链上我们的数字交易安全。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-4:858ms