【区块链安全周报】权限滥用成为智能合约重大隐患

各位朋友，大家好，欢迎来到区块链安全周报。

7月24日，最近一周FOMO 3D资金盘游戏火遍币圈，其开发商似乎也有些“膨胀”，指出“我发现了一种被认为相当于EVM核弹的漏洞。”。谁想以太基金会的Péter Szilágyi不但驳斥了这种说法，还曝光了FOMO3D的一个漏洞，或者说逻辑瑕疵。

据多家安全厂商分析，攻击者可以利用这一漏洞，预先生成地址，进而调用相关函数，获得ETH，即我们通常所说的“薅羊毛”。严格来说，这并不是严重的安全问题，但是由于FOMO 3D火爆后，大量游戏抄袭其代码衍生出了若干类似游戏，让这一逻辑瑕疵得以“传播”，形成了区块链代码开源文化下独特的安全问题。

7月25日，币圈必备工具Etherscan.io近期遭遇一起黑客攻击事件，这起事件对网站和用户本身并无实质伤害，只是会显示弹框，弹出消息“1337”。据悉，这一情况主要在用户离开一些评论页面时出现，随着用户将这一问题在Twitter上报告，Etherscan官方也已经对有问题的评论页面进行处理。

7月26日，与FOMO 3D的“空投漏洞”相比，各类FOMO 3D的山寨游戏本身的恶意行为，在过去一周成为相关游戏参与者更大的安全威胁。

EOS版的类似游戏“狼人游戏”被传利用了普通用户对EOS权限机制的认知缺陷，在代码中，对用户账号更新了权限，存在账户中款项被提走的安全问题。

接着，同样是这款游戏遭遇攻击，出现整型溢出问题，使得奖池中的金额变成负数，游戏也因此停止运营。

而FOMO 3D的另一款山寨游戏FOMO short也被爆出了权限问题，其若干admin调用给予了owner过高权限，特别是转账权限。在这种情况下，owner有能力将奖金池、用户尚未转移到钱包的分红转移出来，即存在所谓的“跑路”的可能。

从以上问题我们可以发现，尽管一些交易所对“上币”已经提出了智能合约的审计要求。但是，如FOMO 3D这样的区块链合约应用，本身并不发币，并不依赖于交易所这样本质上中心化的途径发行和被监管，全凭自身机制设计得以流行。这种情况下，尽管其代码开源，但是自身并未进行相应的安全审计，绝大部分参与者也没有相应的技术能力识别其安全级别，从而暴露在重大的安全问题之下而不自知。

7月26日，北京链安综合报道，在中心化交易所出现诸多问题的情况下，去中心化交易所正被投资者给予厚望，以解决诸如交易所遭受攻击被盗币，交易所内部操控币价等问题。近日，去中心化交易所Wave在业务上已经取得阶段性成功，日交易电子币价值达到600万美元。但是，就在本周，该交易所也爆出安全问题，一次钓鱼式攻击让用户的钱包助记词可能被盗。目前，安全漏洞已经得到解决，但是也说明去中心化本身并不能解决交易所的安全问题。

7月26日，北京链安综合报道，正在进行ICO的项目KICKICO遭遇黑客袭击，损失金额预计超过700万美元。本次攻击的发生，问题依然在智能合约本身的代码漏洞之中，由于KICK在智能合约中为owner权限设立了较多特权函数，从而使得攻击者一旦获得合约控制权之后，即可以对用户地址上的代币进行一系列的转移操作。在本次攻击中，攻击者创建了40个虚假地址，再将被盗的代币转移到新地址之中，共有7000万KICK的Token被转走，当时价值770万美元。

KICK项目方声称，已经重新获得合约的控制权，他们承诺将把相应的代币返还给其合法的拥有者。

从过去一周的安全事件来看，FOMO 3D火爆下的安全问题非常突出，由于其代码开源，在抄袭山寨模式下，相应代码漏洞被迅速在更多项目复制的问题相信将在后续更多成功项目中出现。而本周一再出现的在智能合约中，给予特殊角色以过高权限的问题，不但让类似合约存在“道德风险”，更可能成为黑客攻击者利用的隐患，同时，这也再度给区块链生态参与者以思考：存在权限特权的区块链项目真的是我们曾经寄望的“去中心化”吗？