区块链历史上最大的智能合约攻击暴露-第2部分

通过AnChain.AI和SecBit联合实验室硅谷之间的合作完成的研究 2018年7月26日,攻击合同0x5483由0x820D创建。 它是继续调用易受攻击(受攻击)智能合约的五个地址之一。 上述提到的Last Winner游戏合约已于8月6日部署在主网络上。 那么,合同0x820D中到底发生了什么? 考虑到这个问题,我们着手从智能合约0x5483的代码(字节码)中找到答案。 经过反向发现后,该合同被发现具有七个公共职能。 其中一个名为取款(uint256),用于从易受攻击的智能合约中转移出累积的以太坊。 AnChain.AI确定了五个地址,这些地址连续针对字节码中易受攻击的空投智能合约。 最终,这两个函数将跳转到相同的内部函数,并检查事务启动器是否是这五个地址之一。 如果发起方是这五个地址之一,则事务将继续执行,但如果不是,则执行将提前取消自身。 这也解释了为什么这五个地址一直被称为易受攻击的智能合约。 这些合同是专门为他们设计的,而其他人根本无法调用它们。 最初,易受攻击的智能合约旨在分散权限和资金,从而降低出现问题或被发现的风险。 第一步是调用函数哈希ID,然后调用三个参数。 如果您注意第一个参数,那么攻击者就是一个地址。 该地址是“最后获胜者”游戏合同的地址。…

“ Oracle问题”不是问题,为什么智能合约可以使每个人的保险更好。

让我们考虑一下,在当前传统系统中可能出现故障点的地方。 第一个问题是银行帐户,保险公司应支付哪个银行帐户? 该政策仍然有效吗? 用户是否已支付保费? 提出索赔的人是拥有保险单的人吗? 保险公司可以负担得起吗? 只有所有这些问题都得到回答,他们才能真正解决问题:房子实际上被烧毁了吗? 在这种情况下,他们对当地消防部门进行了调查 ,以确认是的,房屋确实烧毁了。 让我们将其与使用智能合约的第二种情况进行比较:由于智能合约可以跟踪付款,有分配资金的地址并具有内置状态,因此这仅是本地消防局推动状态变化的问题,以便激活政策并立即向个人付款。 实际上,由于消防部门可以直接推动状态变更,并尽快将资金提供给受害人,因此这完全不需要保险代理人。 如果您认为甲骨文问题是一个问题,您会说:“好吧,消防部门可能撒谎,并欺诈性地说您的房屋没有烧毁。”嗯,这更多是输入/输出问题,而不是合同问题。 。 该合同仍然有效,并且对于维护策略逻辑很有用,即使您的输入表明消防部门无法正常工作。 实际上,这类似于说您的程序已损坏是因为您的键盘无法正常工作,例如,当您按N时它总是输入Y。问题不是计算机或程序正在运行,而是键盘在运行。提供数据,就像坏的Oracle一样很容易替换。 我个人非常喜欢智能合约,它可以隔离状态更改,并且在您信任个人而不是机器时非常清楚。 如果我正在等待索赔的处理,我不知道我是在等待转账,代理人进行调查还是保险公司没有足够的资金向我付款。 智能合约的优点在于,它消除了所有其他因素,而仅将预言输入作为因素。…

[最新进展] SmartDec — Rate3的智能合约审核合作伙伴

我们将不断更新关键更新,以便社区随时了解最新信息。 每隔2周,我们将发布有关产品,市场营销,合作伙伴关系,技术开发,法律和其他常规更新的关键更新的合并摘要。 这次,我们将介绍我们的智能合约审计合作伙伴,以确保整个代币销售过程是平稳无缝的。 我们将很快完成审计工作,并将根据我们完全透明和公开的政策将审计报告公开发布。 有关SmartDec的更多信息 SmartDec从2009年开始从事应用程序安全性工作。他们的领导者在反编译和安全性分析方面拥有15年以上的经验,并拥有这些领域的博士学位。 他们与俄罗斯最大的安全集成商合作,并为俄罗斯最大的银行,电信和零售公司提供安全审计。 自2013年以来,他们一直在为Java,Python,php,C#,js,ruby等语言开发企业静态代码分析器。 团队本身由25人组成,大约有10位分析师,10位开发人员和5位经理。 自2017年初以来,SmartDec一直在发展区块链安全的方向。 此外,他们已经开发了自己的用于Solidity的静态代码分析器,称为SmartCheck ,并已在我们的研究中使用它:https://tool.smartdec.net/ 它们为智能合约,任何平台的后端和前端以及它们之间的集成提供高质量的安全审核服务。 过去的客户 到目前为止,SmartDec已成功完成了50多个针对智能合约的安全审核,以及50多个针对远程银行系统的Web和移动应用程序的安全审核。 可以在这里找到其工作的公开示例:https://blog.smartdec.net/ 他们的一些客户包括: 一些选定的智能合约审核包括:…

区块链是保险业的变革者吗?

从房屋到车辆,财产和意外伤害保险公司处理多种类型的保单。 难怪公司内部和第三方之间分析和共享的客户数据量呈指数增长。 该过程涉及多个接触点上的大量数据输入以及不同方之间的协调,这使过程很耗时,并引发了数据安全性问题。 合并来自各种来源的数据,然后与多个利益相关者无缝安全地共享数据对于保险公司来说是一个挑战。 但是,区块链技术允许保单持有人和保险公司以数字方式跟踪和管理保单,实物资产,并通过智能合约编纂业务规则并自动处理理赔,同时提供永久的审计追踪。 由于多方可以在不更改现有数据的情况下同时更新区块链,因此多个利益相关者可以无缝,安全地访问从各种来源捕获的客户数据。 启用区块链的智能合约可以将纸质合约转换为可编程代码,从而帮助自动进行理赔处理并计算所有相关参与者的负债。 典型的保险合同是两方或更多方之间的纸质协议,可以通过法律强制执行,但是智能合约可以存在于区块链上,并且可以通过代码强制执行。 保险市场规模中的区块链估计将以84.9%的复合年增长率增长,到2023年将达到14亿美元。保险技术公司正在提出基于区块链技术的创新产品。 例如,基于斯洛文尼亚语的初创公司InsurePal已开发了基于社交证明的去中心化和自我调节的保险平台。 该平台利用区块链技术和点对点评估为保险单创建了一个有益且透明的平台。 另一个人是我们在Inmediate,作为智能保险平台还是Insurtech初创公司,我们也在与区块链一起做一些开发,并继续建立相关的合作伙伴关系,以进一步增强我们的技术,并为消费者和保险业提供未来。 传统保险公司正在开发内部解决方案,或者与顾问或InsurTech公司合作来制定基于区块链的流程和新产品。 例如,法国跨国保险公司AXA推出了一种航班延误产品,该产品利用基于区块链的智能合约进行自动理赔处理。 同样,在Capgemini Italy的支持下,一群保险公司和经纪人(意大利Generali Global Corporate&Commercial,AIG…

InfoSecurity专家访谈:Coinbase的Zak

在我们的新细分市场中,Quantstamp将采访信息安全领域的专家,以了解他们的职业道路,了解信息安全领域的发展情况,并了解专家如何将其知识应用于区块链技术领域。 请享用, 嗨,扎克! 告诉我们更多有关您自己的信息。 我叫Zak,是Coinbase安全团队的一名软件工程师。 最近五年来,我在大中型公司的安全和基础架构团队工作。 你在哪儿长大的? 我来自加拿大的一个中型城镇,但在西海岸度过了我的职业生涯。 我一直觉得“成长”是可选的:)。 您是如何开始从事安全行业的? 小时候,我会把空闲时间花在本地图书馆的科幻小说部分。 我遇到了艾萨克·阿西莫夫(Isaac Asimov)的一本书,名为《我,机器人》,这改变了生活! 其他媒体总是将计算机描绘成这些类似于外星人或品脱奇欧的实体,具有复杂的文明或渴望变得更加人性化,但是这本书提出了“机器人三定律”,这是表达程序行为的三个简单规则,然后继续构建这些规则相互冲突或不适用于这种情况的方案。 它来自那本书。 我一直对计算机安全性着迷,因为它利用了我们认为正在编写的内容与实际编写的内容之间的差异。 计算机将或多或少地按照被告知的方式准确地执行操作,无论意图如何,而且弄清楚哪里出了问题是很有趣的。 是什么把您带到Coinbase?…