God Game盗币案技术分析
1、案件描述:
2018年8月22日,GOD.GAME官方发布消息,合约遭受攻击,所有的投注ETH被盜走。盗走ETH的黑客地址为0xC30E89DB73798E4CB3b204Be0a4C735c453E5C74。
2、合约概况
2.1 合约名称
God
2.2 合约地址
0xc30e89db73798e4cb3b204be0a4c735c453e5c74
2.3etherscan链接
https://etherscan.io/address/0xCA6378fcdf24Ef34B4062Dda9F1862Ea59BaFD4d
3、细节分析
数字彗星安全团队成员对合约的交易记录进行查询,发现黑客通过函数withdraw()于Aug-20-2018 04:57:26 PM +UTC 转走了243.88Eth。
经过数字彗星安全团队对函数withdraw()进行分析,发现函数内对红利进行计算、累加后,交易给合约调用者。
如何提高_dividends的值,从代码看,可以通过以下2个方式:
方式1:在226行通过函数myDividends()
追踪函数myDividends(),对函数的实现进行分析
追踪函数dividendsOf(),对函数进行分析
提升profitPerShare_的值可以通过函数sell()的276行
通过对整个合约代码的检查,我们发现profitPerShare_的值没有任何一个地方进行降低的,就此,我们可以断定,黑客使用同一个地址频繁的买入和卖出(通过调用函数sell())Token,就可以将profitPerShare_的值调到很大。攻击者再使用同一个地址调用方法withdraw(),因为myDividends值直接由profitPerShare_的值决定,这样,交易数额就提升了。
方式2:在233行累加合约调用者的红利
方式1已经可以达到提升交易额的目的,此方式不做分析。
4、总结
针对上述问题,数字彗星安全团队建议:对于合约的转账数量,需要进行严密逻辑验证。
另外,数字彗星安全团体通过使用自研分析引擎(https://safecomet.com/audit.html)进行分析,发现合约中还存在其他问题,如:溢出漏洞。
数字彗星分析引擎结果:
经过团队成员对引擎结果进行初步审计,认为该合约存在一定数量的潜在安全问题。详细如下:
Error:共18个,其中17个确实存在安全风险。
问题1:溢出漏洞
1)行157:
其150、153、154、155行均采用了SafeMath提供的API进行数学运算,但157行未使用。其中magnitude 的值声明为第77行
该值固定已经很大,再与_dividends进行相乘,极可能溢出。
2)行:167
3)行:189
4)行:192
5)行:230
6)行:233
7)行:271
8)行:315
9)行:317
10)行:322
11)行:324
12)行:332
13)行:333
14)行:708
15)行:718
16)行:721
17)行:734
Warnning:共3个,其中问题1个可能引起安全风险,其他2个是对代码编写风格的建议。
问题1:使用^可能会导致有未知的bug被最新的编译器触发。
行1:
问题2:事件和函数名归一化后(lowercase)相同
行288:
函数名transfer和行58的事件名Transfer归一化后名称相同。
问题3:使用了内联汇编
数字彗星安全团队建议使用SafeMath安全运算库替换当前的算数运算。数字彗星安全团队提供严格的智能合约审计服务,尽力保护区块链投资者和交易平台资产,维护区块链行业积极健康发展。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
近日,远光软件基于区块链技术研发的“电益链能源金融平台”荣获广东省信息技术应用创新产业联盟颁发的“2020年广东省信息技术应用创新优秀产品和解决方案”奖,再次彰显了公司在新技术应用领域的创新能力。
在新时代的浪潮下,区块链数字技术的应用越来越广泛,给各行各业带来新机遇的同时,也给金融秩序带来了新的挑战。虚拟货币具备匿名性、去中心化、追踪难等特点,越来越多不法分子利用虚拟货币进行诈骗、传销、非法跨境转移资产等违法犯罪活动,严重侵害人民群众财产安全。
因为2021年经济不景气,我认识的好多站长都转型去研究琢磨挖矿去了。个人感觉“挖矿”这件事主要是浪费资源,费显卡,费电,但对日常生产生活没起到什么作用。
本次活动我们邀请到了50+行业领袖人物,通过演讲、对话、作品展等方式,带领大家深入了解部落城的过去、现在及未来。希望通过一场创意与视听交互的观看旅程,解密区块链带来的加密世界、融合传统势力与新生力量的创新成果,一展区块链生态发展全貌。
“我国多省市政府已将区块链技术融入新基建的一系列建设方案,区块链作为新基建中可信网络建设的重要支撑,是助推数字经济高质量发展的客观需要。
通过创新应用场景,推动其生态系统的发展和货币的流通是每一个项目的必修课。StatterNetwork作为一个有着强大技术支撑的元宇宙项目,其主网币STT不仅仅局限于简单的价值储存和交易媒介,而是广泛的应用在全生态和跨链生态中。本文将深入探讨STT的主要应用场景与价值。1.二级市场交易作为Statte
近日,亚洲区块链学会会长蔡志川博士发表了题为《波场TRON——数字未来之航,领航区块链新时代》的文章指出,随着新时代的来临,区块链技术和数字化经营成为企业家升级的新引擎,孙宇晨和其创办的波场TRON在过去几年里发展迅速,尤其是在2023年,通过持续努力、技术创新和开放合作,波场TRON将继续引领行业
9月4日,国际权威研究机构IDC发布“中国BaaS厂商市场份额,2022”报告。报告显示,蚂蚁集团凭借蚂蚁链以26.6%的市场占有率位居第一,腾讯云、华为云以16.3%、11.4%分列二三位。据了解,这是蚂蚁链连续三年中国BaaS市场第一,据了解,蚂蚁链是国内代表性的区块链厂商,技术完全自主研发。其
2023年7月20日,成都链安创始人&CEO杨霞教授受邀在新一代信息技术安全与WEB3.0安全专题峰会上发表“区块链安全态势与技术研究”主题演讲。成都链安杨霞教授首先介绍了全球区块链安全态势,指明目前全球区块链安全事件层出不穷、居高不下,同时,区块链、虚拟货币也被一些不法分子用来从事非法活动,监管面
李先生是一位酒品收藏家,他对白酒的热爱无与伦比,用心收集了许多珍贵的酒品。但是,他的收藏之旅却遭遇到了一次大打击。李先生为了庆祝自己生日,决定品尝自己收藏了20年的白酒。激动之下,他打开珍藏的白酒,只想品味一口历经岁月的美酒。然而,想不到的是,香气扑鼻之际,他发现嘴中的味道与记忆中的完全不同。心情一
成都链安上榜《嘶吼2023网络安全产业图谱》2023年7月10日,嘶吼安全产业研究院联合国家网络安全产业园区(通州园)正式发布《嘶吼2023网络安全产业图谱》。成都链安凭借自身技术实力以及在区块链安全行业广泛的品牌影响力,荣登《嘶吼2023网络安全产业图谱》区块链安全赛道榜单。这也是成都链安连续第二
近日,工业和信息化部办公厅公布2022年区块链典型应用案例名单,江行智能《基于区块链技术的工业园区“源网荷储一体化”综合能源服务系统》作为标杆案例入选。据了解,本次区块链典型应用案例征集吸引了全国各大省市的优秀区块链项目的纷纷参与。经企业自主申报、地方和央企推荐、专家评审等环节的层层考核,61个具较
11月19日,在由成都市人民政府、中国信息通信研究院主办,成都链安协办的第二届中国可信区块链安全攻防大赛启动会上,成都市新经济发展委员会公布首批国家区块链创新应用试点项目,成都链安“区块链+智慧助警服务平台”项目入选首批试点项目名单,并获得授牌。
近日,国内AI绘画应用软件“数画”官方发布一条公告,引起整个AI绘画业界的轰动。公告显示“数画”上线真人元宇宙AI虚拟头像制作功能,并于2022年11月18日开始为画友正式投入服役
