关于“存储区注入漏洞”的说明
Louis
2018-05-19

      安全审计公司Red4Sec近期在一些NEP-5的合约代码中发现了一种存储注入漏洞,攻击者可利用该漏洞进行攻击。


      Neo Global Development (NGD)联合Red4Sec发布如下声明:


     本次发现的漏洞是一些项目的智能合约代码的漏洞,与NEO区块链底层无关。


     目前已经有多个NEP-5代币受到此漏洞的影响。攻击者可以利用该漏洞对合约的存储区进行修改。攻击者可以通过销毁一定的代币,来修改合约的一些状态值如totalSupply。但是这种攻击只能修改totalSupply的显示值,无法修改实际的发行总量,且攻击成本较高,所以我们认为这种攻击模式的危害较低。

  

    我们检查了大量的合约代码,并得出结论:


      1) 有部分项目没有受此漏洞的影响,或在我们发现此问题前已经修复了漏洞,这些项目无需做任何操作;


      2) 有部分项目可能受攻击模式影响,用户的资产是安全的,这些项目可视情况来选择是否进行合约升级;

 

     3)只有一个项目因为不开源同时也无法获得其源代码,无法检测其是否存在(其它)严重漏洞。


      目前我们已经通知了所有已知受此漏洞影响的项目方,并发布了如何避免此漏洞的开发指导意见。建议项目方通过NEO底层提供的合约升级接口来对受漏洞影响的智能合约进行升级。项目方将根据具体情况自行处理,具体情况请以各个项目方的公告为准。指导意见:https://github.com/neo-project/proposals/blob/nep5amendment/nep-5.mediawiki


      此次事件的发现和处理由NGD和Red4Sec团队联合协作完成。我们联合承诺共同守卫NEO生态网络安全。


NEO Global Development (NGD)

 

     

      NEO生态项目漏洞状态的最新消息参见:https://neonewstoday.com/general/neo-ecosystem-vulnerability-updates/

点击进入招聘详情>
微信扫一扫
关注区块链新金融
扫一扫
下载数链APP
内容合作/商务合作:
gxcj@gongxiangcj.com
联系电话:
021-31128751