开发者社区> 网站安全> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

分析网站漏洞检测对于区块链的安全分析

简介: 目前区块链市场越做越大,很多服务都在使用区块链技术,跟上区块链的大潮,在高速发展的同时,区块链的安全问题也日益严重,2018年上半年ATN区块链平台被爆出高危的区块链漏洞,我们来看下这个ATN到底是如何产生漏洞,分析及如何修复漏洞的。
+关注继续查看

目前区块链市场越做越大,很多服务都在使用区块链技术,跟上区块链的大潮,在高速发展的同时,区块链的安全问题也日益严重,2018年上半年ATN区块链平台被爆出高危的区块链漏洞,我们来看下这个ATN到底是如何产生漏洞,分析及如何修复漏洞的。

ATN区块链平台是全世界第一个区块链技术融入人工智能的一个平台,去中心化,没有任何授权,客户可以自己使用智能接口来进行与区块链相连接的一个虚拟币平台。该平台使用的是公有链安全机制,使用的是oracle数据库,可以跨域,跨区的区块链平台,使用石墨烯的最新技术来实现用户高并发的请求,也算是人工智能领域最强大的区块链服务商,可以为很多的安卓,IOS,APP用户提供区块链服务。

关于这次漏洞的产生,是被区块链安全中心检测发现,攻击者利用ERC的合约进行伪造恶意代码函数,对服务器进行攻击,因合约开放自定义的代码,导致攻击者绕过WAF防火墙,直接插入攻击代码从而绕过权限,导致漏洞的发生。

区块链漏洞的详情

ATN区块链使用的合约是基于erc20以及加密值token算法的基础进行开发的合约,在开发的过程当中ATN使用了自己开发人员的anth库,为了转币的安全考虑,才使用这套合约,每次虚拟币转账的时候都会首先确认授权权限,然后才能进行转账功能,当转币为人工智能合约,那么就会使用随机的token值进行判断,并写入到oracle数据库中,当token唯一时,转币才能成功。我们来看下合约的代码到底是如何写的:

从上述代码可以看出,转币使用的合约做了详细的安全过滤,防止非法的参数写进来,但是在远程调用对方身份信息的过程当中,并没有进行安全拦截,导致在转币的过程中可以插入恶意代码,使用custom_call函数来进行攻击,攻击者远程伪造调用了自己的ATN转币地址,使其他人转币的时候直接转币到攻击者的账户中去。

目前ATN区块链平台已经修复此漏洞,该漏洞导致的转币损失已与开发者进行协商处理,损失降到了最低,也由此看出目前的区块链平台多多少少都存在着漏洞,只要是高危漏洞都会对币价有所影响,目前比特币,以太坊,市场刚刚回暖,是否是牛市要看未来整个区块链市场的发展,以及有多少服务在使用区块链技术。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
针对网站漏洞修复区块链漏洞之以太坊
前段时间以太坊升级架构,君士坦丁堡的硬分叉一个升级代号,被爆出含有高危的网站漏洞,该漏洞产生的原因是由于开启了新的协议模式eip1283导致的,也是区块链漏洞当中危害较为严重的,可以让一些交易进行重入,一个转账可以导致写入2次,但该漏洞并不是确实的可以进行重入漏洞。以太坊区块链在发现该漏洞之后,紧急的停止了以太坊的硬分叉升级,并与上个星期五召开了内部会议对其漏洞进行修复,延期对以太坊的硬分叉升级。
305 0
网站漏洞检测服务对URL跳转漏洞检测分析
网站渗透测试是指在没有获得网站源代码以及服务器的情况下,模拟入侵者的攻击手法对网站进行漏洞检测,以及渗透测试,可以很好的对网站安全进行全面的安全检测,把安全做到最大化。在挖掘网站漏洞的时候我们发现很多网站存在域名跳转的情况,下面我们来详细的讲解一下。
115 0
网站漏洞检测 php变量覆盖漏洞的检测与分析
临近9月底,seacms官方升级海洋cms系统到9.95版本,我们SINE安全在对其源码进行网站漏洞检测的时候发现问题,可导致全局变量被覆盖,后台可以存在越权漏洞并绕过后台安全检测直接登录管理员账号。
1743 0
php网站漏洞检测对sql注入漏洞防护
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击。
1944 0
创建高安全性PHP网站的几个实用要点
大家都知道PHP已经是当前最流行的Web应用编程语言了。但是也与其他脚本语言一样,PHP也有几个很危险的安全漏洞。所以在这篇教学文章中,我们将大致看看几个实用的技巧来让你避免一些常见的PHP安全问题。
1236 0
艾伟:一次挂死(hang)的处理过程及经验
前言:        CPU占用率低,内存还有许多空余,但网站无法响应,这就是网站挂死,通常也叫做hang。这种情况对于我这样既是CEO,又是CTO,还兼职扫地洗碗的个人站长来说根本就是家常便饭。以下是一次处理hang的经验及总结,前后用了一个月,不仅涉及程序排查,数据库优化,还有硬件升级的苦恼。
1069 0
艾伟_转载:一次挂死(hang)的处理过程及经验
前言:        CPU占用率低,内存还有许多空余,但网站无法响应,这就是网站挂死,通常也叫做hang。这种情况对于我这样既是CEO,又是CTO,还兼职扫地洗碗的个人站长来说根本就是家常便饭。以下是一次处理hang的经验及总结,前后用了一个月,不仅涉及程序排查,数据库优化,还有硬件升级的苦恼。
1205 0
+关注
网站安全
Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题,对代码审计以及漏洞修补安全加固有专业的十年实战经验.官方站点www.sinesafe.com
文章
问答
文章排行榜
最热
最新
相关电子书
更多
如何产生威胁情报-高级恶意攻击案例分析
立即下载
攻击过程的威胁情报应对体系
立即下载
机器学习在恶意样本检测方面 的实践之路
立即下载