雷鋒網(wǎng)消息，6 月 15 日，據(jù)微信公眾號“ ArmorsLabs ”稱，ArmorsLabs 最近發(fā)現(xiàn)并命名了“jaeden”漏洞，該漏洞是迄今為止 ERC20 涉及面最廣的整體性漏洞。

我們來看看“ ArmorsLabs ”給出的分析詳情：

ArmorsLabs 的智能合約掃描系統(tǒng)（IDS） 在分析了以太坊上超過 10000 份 ERC20 智能合約后發(fā)現(xiàn)，ERC20 標(biāo)準(zhǔn)的 approve 方法存在巨大安全漏洞，會導(dǎo)致代幣出現(xiàn)被向量攻擊的風(fēng)險(xiǎn)。Armors 稱，其團(tuán)隊(duì)經(jīng)過市場統(tǒng)計(jì)發(fā)現(xiàn)，目前已上交易所的數(shù)字貨幣中至少有超過 60% 的幣種，在智能合約中使用了存在該漏洞的代碼。

Approve 和 transferFrom 在歷史上是為了 Decentralized Exchange 設(shè)計(jì)的，用戶可以通過 approve函數(shù)授權(quán)第三方帳戶為其管理指定額度的代幣。

以太坊官方ERC20 Demo中，approve函數(shù)的代碼存在向量攻擊漏洞。簡單描述下就是甲方授權(quán)乙方管理自己的數(shù)字貨幣，如果甲方想更改乙方的權(quán)限，乙方可以提前轉(zhuǎn)走被授權(quán)的貨幣，然后還可以再一次收取新授權(quán)的貨幣，從而致使甲方多次轉(zhuǎn)賬，造成數(shù)字財(cái)產(chǎn)的損失。

這種授權(quán)方式在去中心化交易所、第三方支付和量化基金管理上，被大范圍使用。 

在數(shù)字貨幣世界里，在沒有現(xiàn)實(shí)等價(jià)物、線下交易契約和法律約束的情況下，智能合約就是法律——Code is Law！當(dāng)Code 出問題時(shí)，也就是 Law出了問題，轉(zhuǎn)賬欺詐可能帶來的這個(gè)風(fēng)險(xiǎn)則根本無法回滾，一經(jīng)生效不可變更！這種有漏洞授權(quán)機(jī)制會帶來價(jià)值幾十億甚至幾百億美元的數(shù)字資產(chǎn)存在安全危機(jī)。

該漏洞作為以太坊標(biāo)準(zhǔn)導(dǎo)致的重大安全隱患，已經(jīng)被Armors命名為“jaeden”，并且已經(jīng)提交到cve平臺，Armors及其他一些世界領(lǐng)先的安全合約代碼庫已經(jīng)提供了解決此問題的安全代碼。但是，Armors發(fā)現(xiàn)一些剛上線的幣，還存在此種漏洞。除此漏洞外，Armors漏洞分析師還發(fā)現(xiàn)了更多其他漏洞，比如：

該合約沒有對零地址轉(zhuǎn)賬進(jìn)行攔截，引起的后果是：一旦有惡意莊家試圖進(jìn)行控盤，將大量代幣打入零地址，即可造成該代幣經(jīng)濟(jì)體系紊亂。

雷鋒網(wǎng)了解到，Armors 區(qū)塊鏈安全實(shí)驗(yàn)室成立于 2017 年 7 月，是DKB FUND基金首批孵化的項(xiàng)目。Armors Labs 是一個(gè)智能合約全生態(tài)實(shí)驗(yàn)室，創(chuàng)始技術(shù)團(tuán)隊(duì)由360核心安全小組成員及百度、騰訊架構(gòu)師級別程序員組成。

不久前，Armors 獲得1000萬元戰(zhàn)略融資，投資方為由清華大學(xué)五道口金融學(xué)院GFD校友發(fā)起成立的區(qū)塊鏈投資基金——DKB FUND基金。

雷鋒網(wǎng)注：該文主要分析內(nèi)容轉(zhuǎn)載自 ArmorsLabs。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。