beoordeling van de kwetsbaarheid
Beveiligingsniveau: hoog
Betrokken contracten: atn-contracten
Impact: veroorzaakt een wijziging in het totale aanbod van ATN-tokens.
Gebeurtenis: op 11 mei 2018 om 11:46 uur ontving het technische team van ATN een abnormale monitoringmelding en veranderde de levering van ATN-tokens. Ze kwamen snel tussenbeide en stelden vast dat het tokencontract was gehackt. Het technische team van ATN identificeerde snel de zeldzame mazen in de toestemming die kunnen optreden bij het gebruik van de ds-auth-bibliotheek om het ERC223-standaardaanbevelingscontract te implementeren, repareerde de mazen op tijd, bevroor de nieuw uitgegeven tokens van de hackers en volgde de hackers. Tegelijkertijd werkte ATN nauw samen met SlowMist, een externe professionele blockchain-beveiligingsorganisatie, om een gezamenlijke evaluatie van het ATN-contract uit te voeren. Tijdens het beoordelingsproces erkende het SlowMist-beveiligingsteam de snelle reactie en efficiënte contractreparatie van het technische team van ATN.
Kwetsbaarheidsanalyse en aanvalsproces
Om ervoor te zorgen dat het ATN-ontvangende contract na de overdracht over de verwerkingscapaciteit beschikt, gebruikt het ATN-tokencontract de uitgebreide ERC223-standaard die compatibel is met de ERC20-tokenstandaard en voegt het de dapphub/ds-auth-bibliotheek toe. Er is geen probleem bij gebruik van de ERC223- of ds-auth-bibliotheek alleen, maar bij gebruik in combinatie gebruikt de hacker een aangepaste callback-functie om de setOwner-methode aan te roepen om geavanceerde machtigingen te verkrijgen. Door gebruik te maken van deze ERC223-methode met een gemengde kwetsbaarheid in de ds-auth-bibliotheek, veranderden hackers de eigenaar van het ATN-tokencontract in een adres dat ze controleerden. Nadat hij de autoriteit van de eigenaar heeft verkregen, initieert de hacker een andere transactie om het ATN-contract aan te vallen, waarbij hij de mint-methode aanroept om tokens naar een ander adres uit te geven. Ten slotte roept de hacker de setOwner-methode aan om de machtigingen te herstellen.
verdedigen tegen aanval
Na onderzoek werd ontdekt dat de hackers de nieuw geslagen ATN-tokens verspreidden naar 14 verschillende adressen zonder ETH, waardoor het directe risico van witwassen van geld werd geëlimineerd door ze over te dragen naar beurzen. Het technische team van ATN heeft de mogelijkheid om zwarte munten van hackers te bevriezen en voorraadwijzigingen met technische middelen te herstellen. De primaire focus ligt daarom op het opsporen van hackers. Om dit probleem op te lossen heeft het technische team van ATN de volgende maatregelen genomen:
- De voorbereidingen voor corrigerende maatregelen omvatten het toevoegen van een Guard-contract om te voorkomen dat ATN naar het ATN-contractadres wordt verzonden, waardoor wordt voorkomen dat de aangepaste callback-functie het ATN-contract zelf aanroept, en het oplossen van de kwetsbaarheden die tijdens de aanval worden uitgebuit. Het blacklist-contract wordt ook toegevoegd om de adressen van hackers op elk moment te bevriezen.
- Houd de ETH-adressen van hackers in de gaten en volg stortingen die naar beurzen worden verzonden voor verder bewijs van verantwoordelijkheid.
- Start na het verkrijgen van het bewijs onmiddellijk het reparatieproces, voeg de hackergerelateerde adressen toe aan de zwarte lijst en verbied de overdracht van ATN-tokens;
- De ATN Foundation zal hetzelfde aantal ATN-tokens vernietigen om het totale aantal te herstellen en correcties aanbrengen wanneer de hoofdketen van ATN online gaat.
Na monitoring ontdekte het ATN-team dat hackers 1.000 ATN opwaardeerden naar een centrale. Het team zette onmiddellijk de Guard-beveiligingsrevisie Compound in om overdrachten naar hackergerelateerde adressen te verbieden en bewijsmateriaal te verzamelen om verdere juridische stappen te ondernemen.
https://etherscan.io/tx/0x18bd80b810f6a6b6d397901d677657d39f8471069bcb7cfbf490c1946dfd617d
Dit betekent dat we de KYC-informatie van de hacker kunnen verkrijgen en dat het ATN-team de hacker kan volgen met medewerking van de centrale en zich het recht voorbehoud om verantwoordelijkheid te nemen.
De ATN Foundation zal 11 miljoen ATN-tokens vernietigen om het totale aanbod te herstellen en activa van het hackeradres verwijderen tijdens de mapping van de hoofdketen om ervoor te zorgen dat het oorspronkelijke vaste totale aanbod ongewijzigd blijft.
Kenmerken van ATN-token op basis van ERC223
- ERC223 is een verbetering en compatibiliteit met ERC20 en biedt betere tokenfuncties, waardoor het ontvangende contract overdrachts- en post-overdrachtsverwerkingsmogelijkheden heeft.Ga voor meer informatie naarhttps://github.com/ethereum/EIPs/issues/223. Het ondersteunt ook de cross-chain-functie, die kan worden gebruikt voor cross-chain tokenbetalingen in AI Market.
- Omdat het oorspronkelijke ontwerp van ATN-tokens ook wordt gebruikt als transactiebrandstof, kunnen gebruikers of DApps ATN gebruiken voor betaling, en het ATN-tokencontract moet de mogelijkheid hebben om andere bedrijfslogica te activeren nadat de transactie is voltooid.
- ERC20-tokens kunnen ook niet worden gebruikt om crowdfundingcontracten uit te geven, maar op ERC223 gebaseerde ATN’s kunnen hiervoor worden gebruikt.Kanverwijzen naarATN Swap-contract.
samenvatten
Contracten zijn geen kleinigheid. Auditing van het ATN-contract is moeilijk vanwege de complexiteit en aanvullende governancemechanismen, waardoor meerdere interne en externe audits nodig zijn voordat het on-chain kan worden ingezet. De veiligheid van blockchain-contracten kan niet alleen berusten op de ervaring en capaciteiten van ontwikkelaars. Verschillende contractkwetsbaarheden in het verleden, zoals de beruchte TheDAO-hack en de recente ERC20-aanvallen tegen EDU, BAIC en SMT, hebben dit probleem aan het licht gebracht.
Het technische team van ATN vertrouwde echter op een rijke ervaring met contractimplementatie, solide technische vaardigheden en snelle reactiestrategieën, waardoor de door de hacker veroorzaakte verliezen bijna volledig werden beperkt, de algemene belangen van de gemeenschap werden beschermd en zich het recht voorbehield om de hacker verantwoordelijk te houden.
De succesvolle verdediging van ATN tegen kwetsbaarheidsaanvallen op Ethereum-contracten leverde dit keer ook kwetsbaarheidsbeoordelingen en reparatiegevallen op voor andere leden van de Ethereum-gemeenschap die de ERC223-standaard gebruiken, wat een positieve bijdrage leverde aan de ontwikkeling van het gehele Ethereum-ecosysteem.
Voordat het ATN-mainnet wordt gelanceerd, zal het technische team van ATN de status van contracten en tokens in realtime blijven volgen en samenwerken met een aantal beveiligingsauditbedrijven zoals SlowMist Technology. De code zal open source zijn voordat het mainnet live gaat om de open source en veiligheid van de ATN openbare ketenecologie in de toekomst te waarborgen.
ATN is een strategische samenwerking aangegaan met SlowMist Technology
SlowMist Technology is een bedrijf dat zich richt op blockchain-beveiliging en het oprichtende team heeft uitgebreide ervaring met netwerkbeveiliging. Teamleden hebben beveiligingsmogelijkheden geleverd voor Google, Microsoft, W3C, het Chinese Ministerie van Openbare Veiligheid, Tencent, Alibaba, Baidu en andere ondernemingen en overheidsinstanties. Hun kerncapaciteiten omvatten beveiligingsaudits, defensie-implementatie en het volgen en verdedigen van ondergrondse hacktrends.
Na het repareren van de kwetsbaarheid nam het ATN-team zo snel mogelijk contact op met SlowMist Technology, leverde het “ATN Resisting Hacker Attack Report” (https://atn.io/resource/aareport.pdf) en werkte volledig samen met SlowMist Technology om een strikt en uitgebreid De beveiligingsaudit van het ATN-contract. Ten slotte gaf SlowMist Technology een positief beveiligingsauditresultaat en bracht het beveiligingsauditrapport van het ATN-contract op basis van ERC223 uit.
ATN heeft het versnellingsplan voor de hoofdketen gelanceerd en zal een langdurige strategische samenwerking aangaan met beveiligingsbureaus zoals SlowMist op het gebied van contract- en knooppuntbeveiligingsnormen, operationele omgeving en risicobeheersing. De samenwerking tussen de twee partijen zal niet alleen de opkomende ATN-hoofdketen begeleiden, maar ook bijdragen aan de continue opbouw van ecologische veiligheid van de blockchain op de lange termijn.
Over Slow Mist
SlowMist Technology is een blockchain-beveiligingsbedrijf opgericht in januari 2018. Het bedrijf is opgericht door een team met meer dan tien jaar ervaring op het gebied van cyberbeveiliging en is uitgegroeid tot een wereldwijde kracht. Ons doel is om het blockchain-ecosysteem voor iedereen zo veilig mogelijk te maken.We zijn nu een bekend internationaal blockchain-beveiligingsbedrijf en hebben deelgenomen aan Huobi, OKX, Binance, imToken, Crypto.com, Amber Group, Klaytn, EOS, 1inch, PancakeSwap, TUSD, Alpaca Finance, MultiChain, O3Swap, enz.
URL:https://www.slowmist.comTwitteren:https://twitter.com/SlowMist_TeamGithub:https://github.com/slowmist/