一、构造函数引发问题 我们知道在大多数太坊合约均需要一个Owner来控制合约的正常运行，无论是涉及token的转账还是用于控制某些函数的启动。而许多合约中Owner的权限是非常大的，如果Owner的安全性得不到保障，那么作恶人员能够很轻易拿到合约的最高权限并轻易作恶，其带来的后果是非常严重的。 第一个问题也是最简单却是危害性最大的。 经常写合约代码的读者应该知道，早起的合约构造函数是使用合约名。例

Pinging · 9272浏览 · 2019-07-04 22:01

一、前言 最近审计了一波以太坊CVE，本章中提及的漏洞包含了众多问题，不仅包括代码上的漏洞，还包括由于函数设计问题而导致的金融学上的漏洞。在分析漏洞之余，我也对本文出现的问题进行进一步思考，并将感想分享给读者。 该漏洞仅为这一类漏洞的代表，与其相关的类似合约还有许多，这里仅使用最有代表性一个来进行分析演示。 首先需要简单的介绍一下相关背景。本文安全隐患是以PolyAI 、Substratum为代表

Pinging · 10371浏览 · 2019-05-29 00:49

一、前言 最近在审计代码的时候发现了两则十分相似的代码，审计之后发现代码存在一些问题，后来查询发现两则代码确为2018年的CVE。即：CVE-2018–11411与CVE-2018–10468。由于者的漏洞点十分相似，所以在本文中我将两代码一同进行分析。 其代码分别位于：https://etherscan.io/address/0x27f706edde3aD952EF647Dd67E24e38CD

Pinging · 9636浏览 · 2019-05-25 23:45

一、漏洞概述 1000 Guess是一款基于以太坊的随机数竞猜游戏。 1000 Guess中的simplelottery智能合约实现的‘_addguess’函数存在安全漏洞，该漏洞源于程序使用公共可读取的变量生成随机值。攻击者可利用该漏洞一直获取奖励。 下面为CVE编号的详细内容。 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1

Pinging · 9167浏览 · 2019-05-25 00:39

一、ATN介绍 ATN作为全球首个区块链+AI项目，是一个去中心化的、无需授权的、用户自定义人工智能即服务(AIaaS)和使用接口的开放区块链平台。ATN公有链将引入DBot的Oracle预言机、跨链互操作技术，且通过石墨烯架构实现高并发TPS，侧重解决人工智能服务(AIaas)与EVM兼容的智能合约之间互操作性的问题。ANT旨在提供下一代的区块链平台，提供AIaaS人工智能即服务和智能合约，为各

Pinging · 9964浏览 · 2019-04-14 01:01

0x00 前言 本次给大家带来的是“智能合约审计系列”的第二篇——“权限隐患&条件竞争”。 在这篇文章中将会给大家介绍一些智能合约开发者在合约开发过程中经常会忽略的权限问题，包括智能合约开发者在开发中为自己留的特权（后门）所带来的安全隐患，同时还将对“条件竞争”进行一个探讨。 0x01 基础知识 权限的概念 权限是指为了保证职责的有效履行，任职者必须具备的对某事项进行决策的范围和程度。它常

Al1ex · 10210浏览 · 2019-03-20 01:37

一、BEC介绍 BEC币全称Beauty Chain，BEC币中文名美币，上线OKEx等交易平台。BEC是世界上第一个专注于美容生态系统的区块链平台。这是一个基于Beauty Chain的创新开放平台，吸引并汇集了美容行业的上游和下游应用。美容生态系统硬币(BEC币)是生态系统中使用的令牌，可作为用户，工作人员，应用程序开发人员以及上游和下游公司的激励。 2018年2月，美链（BEC）上线OKEX

Pinging · 8013浏览 · 2019-03-19 01:48

一、前言叙述 最近，我通过一些相关文章的阅读发现了几个有趣的DAPP。而深入研究后我准备将分析过程记录下来，并分享给读者。本文包括一则蜜罐DAPP，该合约为一则答题类游戏，然而深入分析后发现，这款游戏不仅仅只简单的问答接口，然而对于了解以太坊的人是一个陷阱。所以我对其进行了复现、分析操作，并记录下来引以为戒。 二、合约分析与测试 1 蜜罐合约漏洞 我们首先根据代码来对合约进行分析。 //Ques

Pinging · 7903浏览 · 2019-03-18 01:19

一、前言 很久没有对以太坊DAPP进行研究分析了，今天审计代码时偶然发现一款很有趣的DAPP应用。在以往的DAPP研究中，我们总能发现吸引用户投资的地方，例如前几篇文章中我们曾经介绍过Fomo3D游戏合约，为了吸引用户参与参考了心理学、经济学等理论。它让用户为了最后的大奖而进行疯狂进行投注行为，从而使游戏永远无法停止。而对于庞氏代币合约来说，它吞并了用户的本金并使新用户加入来实现盈利。 而在这次的

Pinging · 5745浏览 · 2019-03-17 01:39

翻译原文：https://blog.hacker.af/how-your-ethereum-can-be-stolen-using-dns-rebinding 随着 Tavis Ormandy 发现本地主机上利用未经身份验证的 JSON-RPC 服务的讨论兴起，我想到的第一件事就是以太坊客户端（Geth，Mist 和 Parity）。 大多数以太坊客户端在 localhost 上的端口 8545

Saferman · 7147浏览 · 2019-03-05 00:38

前言 本次给大家带来一个“智能合约审计”系列的技术分享专题，希望对大家有所帮助，也欢迎各位一起探讨与研究。 基础内容 合约 合约，常被称为“契约”，其为一种“合意”，依此合意，一人或数人对于其他一人或数人负担给付、作为或不作为的债务。从本质上来说，合约是双方当事人的“合意”，是双方当事人以发生、变更、担保或消灭某种法律关系为目的的协议。新婚燕尔，一纸婚约是为合约；你借我贷，劳动雇佣是为合约....

Al1ex · 8793浏览 · 2019-02-27 23:50

前言 区块链的根本属性是去中心化，而去中心化的依托是共识机制。 在了解共识机制之前，我们可以先来了解两个有趣的古老问题：类两军问题、拜占庭将军问题。 类两军问题 如上图所示，一支白色部队在山谷里驻扎，在周围的两边上坡上驻扎着蓝色部队。白色部队比蓝色部队中的任意一支都要强大，但两支蓝色部队加在一起的战斗力要比白色部队强大。如果一支蓝色部队单独作战，那么它就会被白色部队击败；如果两支蓝色部队同时向

Al1ex · 9240浏览 · 2019-02-27 01:49

前言 从2008年11月1日基于区块链技术的第一个应用“比特币”面世至今，区块链技术已经经历了10年零3个月的发展，在这期间，区块链技术不断革新，不断创新，不断发展，直到2018年，区块链技术在全球引起广泛关注，吸引了众多的项目方以及项目投资人，在金融领域更是炙手可热，不得不说区块链技术是一个划时代的创新。时至今日，区块链技术依旧盛行，笔者将通过这篇文章对区块链领域的一些基本概念、核心技术、安全性

Al1ex · 11694浏览 · 2019-02-26 01:30

一、前言 在前一篇的蜜罐合约中，我们介绍并测试了部分由于继承等问题而搭建的蜜罐合约。蜜罐合约顾名思义，就是利用了受害者的投机想法，从而另普通用户自行进行转账的合约。在我们文章中演示的相关合约对owner友好，即普通用户很难从合约中获得利益，所以读者如果看到类似的合约请不要轻易的使用以太币进行尝试。 而本文中，我们在蜜罐合约之上分析由Solidity的结构体产生的漏洞，而此漏洞危害性极大，倘若合约开

Pinging · 6921浏览 · 2019-02-17 01:28

一、前言 本文包括两个方面的漏洞安全介绍，第一部分我将以Fomo3D合约为原型，讲述一下由于合约的打包机制而导致的真实环境中的漏洞。第二个方面我会根据以太坊的特性，对漏洞的成因进行详细的分析。 二、Fomo3D事件攻击 1 Fomo3D介绍 在介绍漏洞之前，我们先简单的介绍一下Fomo3D是什么。 在我看来，Fomo3D的设计者是在深刻研究过博弈和人的贪婪性之后而设计的游戏。Fomo3D 是一款直

Pinging · 6609浏览 · 2019-02-13 00:13