域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

目前區(qū)塊鏈?zhǔn)袌?chǎng)越做越大，很多服務(wù)都在使用區(qū)塊鏈技術(shù)，跟上區(qū)塊鏈的大潮，在高速發(fā)展的同時(shí)，區(qū)塊鏈的安全問(wèn)題也日益嚴(yán)重，2018年上半年ATN區(qū)塊鏈平臺(tái)被爆出高危的區(qū)塊鏈漏洞，我們來(lái)看下這個(gè)ATN到底是如何產(chǎn)生漏洞，分析及如何修復(fù)漏洞的。

ATN區(qū)塊鏈平臺(tái)是全世界第一個(gè)區(qū)塊鏈技術(shù)融入人工智能的一個(gè)平臺(tái)，去中心化，沒(méi)有任何授權(quán)，客戶(hù)可以自己使用智能接口來(lái)進(jìn)行與區(qū)塊鏈相連接的一個(gè)虛擬幣平臺(tái)。該平臺(tái)使用的是公有鏈安全機(jī)制，使用的是oracle數(shù)據(jù)庫(kù)，可以跨域，跨區(qū)的區(qū)塊鏈平臺(tái)，使用石墨烯的最新技術(shù)來(lái)實(shí)現(xiàn)用戶(hù)高并發(fā)的請(qǐng)求，也算是人工智能領(lǐng)域最強(qiáng)大的區(qū)塊鏈服務(wù)商，可以為很多的安卓，IOS，APP用戶(hù)提供區(qū)塊鏈服務(wù)。

關(guān)于這次漏洞的產(chǎn)生，是被區(qū)塊鏈安全中心檢測(cè)發(fā)現(xiàn)，攻擊者利用ERC的合約進(jìn)行偽造惡意代碼函數(shù)，對(duì)服務(wù)器進(jìn)行攻擊，因合約開(kāi)放自定義的代碼，導(dǎo)致攻擊者繞過(guò)WAF防火墻，直接插入攻擊代碼從而繞過(guò)權(quán)限，導(dǎo)致漏洞的發(fā)生。

區(qū)塊鏈漏洞的詳情

ATN區(qū)塊鏈?zhǔn)褂玫暮霞s是基于erc20以及加密值token算法的基礎(chǔ)進(jìn)行開(kāi)發(fā)的合約，在開(kāi)發(fā)的過(guò)程當(dāng)中ATN使用了自己開(kāi)發(fā)人員的anth庫(kù)，為了轉(zhuǎn)幣的安全考慮，才使用這套合約，每次虛擬幣轉(zhuǎn)賬的時(shí)候都會(huì)首先確認(rèn)授權(quán)權(quán)限，然后才能進(jìn)行轉(zhuǎn)賬功能，當(dāng)轉(zhuǎn)幣為人工智能合約，那么就會(huì)使用隨機(jī)的token值進(jìn)行判斷，并寫(xiě)入到oracle數(shù)據(jù)庫(kù)中，當(dāng)token唯一時(shí)，轉(zhuǎn)幣才能成功。我們來(lái)看下合約的代碼到底是如何寫(xiě)的：

從上述代碼可以看出，轉(zhuǎn)幣使用的合約做了詳細(xì)的安全過(guò)濾，防止非法的參數(shù)寫(xiě)進(jìn)來(lái)，但是在遠(yuǎn)程調(diào)用對(duì)方身份信息的過(guò)程當(dāng)中，并沒(méi)有進(jìn)行安全攔截，導(dǎo)致在轉(zhuǎn)幣的過(guò)程中可以插入惡意代碼，使用custom_call函數(shù)來(lái)進(jìn)行攻擊，攻擊者遠(yuǎn)程偽造調(diào)用了自己的ATN轉(zhuǎn)幣地址，使其他人轉(zhuǎn)幣的時(shí)候直接轉(zhuǎn)幣到攻擊者的賬戶(hù)中去。

目前ATN區(qū)塊鏈平臺(tái)已經(jīng)修復(fù)此漏洞，該漏洞導(dǎo)致的轉(zhuǎn)幣損失已與開(kāi)發(fā)者進(jìn)行協(xié)商處理，損失降到了最低，也由此看出目前的區(qū)塊鏈平臺(tái)多多少少都存在著漏洞，只要是高危漏洞都會(huì)對(duì)幣價(jià)有所影響，目前比特幣，以太坊，市場(chǎng)剛剛回暖，是否是牛市要看未來(lái)整個(gè)區(qū)塊鏈?zhǔn)袌?chǎng)的發(fā)展，以及有多少服務(wù)在使用區(qū)塊鏈技術(shù)。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！