[研究人员:EIP-721标准内“setApprovalForAll”函数风险性极高]4月16日消息,在周杰伦NFT被盗之后,研究人员RomanZaikin、DiklaBarda和OdedVanunu开始调查NFT常用的EIP-721标准,结果发现欺诈者可以引诱用户点击恶意NFT的链接,然后通过该标准内一个名为setApprovalForAll的函数控制受害者账户,该函数可以授权任何人控制NFT,其设计初衷是为了让Rarible和OpenSea等第三方能够代表用户控制NFT。
一旦该函数完成授权,攻击者就可以通过使用合约上的transferFrom函数将受害者名下的所有NFT转移到自己的账户。研究人员表示,该功能在设计上非常危险,用户并不总是清楚他们通过签署交易给予了哪些权限。大多数时候,受害者认为这些仅为常规交易。(TheRegister)
相关快讯:
安全研究人员披露Ledger签名安全漏洞 漏洞或导致用户资金被盗:安全研究人员Monokh撰文披露加密货币钱包Ledger硬件钱包存在的安全漏洞。Monokh指出,该漏洞可能导致用户资金被盗。Ledger会在除比特币之外的应用程序上公开比特币(主网)密钥和签名信息,会提供误导性的交易确认请求。以比特币和莱特币应用程序为例,漏洞攻击路径为:1.打开莱特币应用程序;2.获取比特币隔离见证地址;3.根据地址查看UTXOs;4.发起比特币交易并发送给Ledger设备要求签名;5.得到有效的已签名比特币交易信息。Ledger本应在上述第二、第四步骤中识别错误并对其进行阻止,但仍然提示用户进行交易。所有固件版本和App版本均受到此漏洞影响。Monokh建议Ledger在实时应用程序目录上禁用山寨币(Altcoin)应用程序,直至发布修补程序。根据漏洞披露进程表,2019年1月份,Monokh最初于2019年1月份向Ledger披露与隐私相关的安全漏洞,随后,Ledger更新了固件但未对应用程序进行更新,并表示在更新应用程序后将立即公开漏洞。2019年4月份,Monokh再次联系Ledger要求更新应用程序,但未得到反馈。今年5月份,Monokh将该漏洞的根本原因在签名功能方面,这可能会导致用户资金被盗。此后,Ledger称正在调查该漏洞。之后Monokh多次联系Ledger并要求披露漏洞并对其进行修复,但未得到回应,Ledger也没有修复或披露相关漏洞。[8/5/2020 12:00:00 AM]
ETH 1.x研究人员正推动实施“无状态以太坊”:金色财经报道,ETH 1.x研究人员Alexey Akhunov正在推动开始实施“无状态以太坊”(Stateless Ethereum),该项目旨在在区块链持续增长的情况下保持ETH 1.0网络的弹性。人们可选择下载部分状态,以在较便宜的硬件上运行节点,而不必放弃对其数据的完全控制。V神(Vitalik Buterin)表示,无状态是在ETH 2.0中进行区块验证的先决条件。根据Akhunov的说法,该项目将于2020年底开始实施阶段。该项目的目标是解决区块链日益增长的数据负担。[4/25/2020 12:00:00 AM]
研究人员提出“探查攻击”解决比特币闪电网络隐私问题:挪威大学(NorwegianUniversity)和卢森堡大学(UniversityofLuxembourg)的研究人员发表了一篇研究论文,详细描述了一种“探查攻击”(probeattack),这种攻击可以消除比特币闪电网络中交易的匿名性。闪电网络作为有争议的折衷方案出现在比特币(BTC)区块限制和可扩展性的争论中。研究人员通过使用传输路由来“探测”闪电通道,发现比特币余额的总和。此外,研究人员建议对闪电协议进行修改,并提出了几种可能的探测攻击解决方案,但是每项方案都需要在隐私和效率之间进行权衡。(cointelegraph)[4/17/2020 12:00:00 AM]
郑重声明: 研究人员:EIP-721标准内“setApprovalForAll”函数风险性极高版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。