BIA安全周报 曲速未来:metahash出现山寨合约 已修复EOS智能合约底层asset类溢出缺陷

因公众号无法转到外部超链接，感兴趣的朋友可以复制网址到浏览器查看哦！

今日头条

?metahash出现同名涉嫌欺诈的山寨合约 

?安全公司：Solidity缺陷易使合约状态失控 

?曲速区消息：Augur重大漏洞是一个典型的前端黑攻击

?安全团队：已修复EOS智能合约底层asset类溢出缺陷 

?智能合约随机数算法漏洞影响游戏公平性

?腾讯安全：上半年区块链因安全问题损失超27亿美元

   

本周安全情报回顾

曲速未来:metahash出现同名涉嫌欺诈的山寨合约 

据曲速未来安全区最新数据显示，2018年8月5日全球共新增905个合约地址，其中193个为代币型智能合约。曲速未来安全审计团队发现，名为MetaHash Coin(MHC)的某山寨合约有疑似聚集资金的行为，智能合约检测3.17分，存在7个中危漏洞。该合约与近期较为火热的众筹项目metahash同名，但与metahash官方核实后确认其并未创建MetaHashCoin（MHC）合约，此合约有欺诈嫌疑。另外，此山寨合约创建者还创建了多个同类型合约，代码中均存在诱导用户转入ETH的行为。

安全公司：Solidity缺陷易使合约状态失控 

安比（ SECBIT）实验室在 BancorLender合约中发现野指针问题。该合约中的一个状态变量会意外地被另一个函数修改，偏离原本设计意图。目前项目方不明确。建议项目方应立即废弃该合约，并重新发布修复后的合约。野指针问题是 Solidity语言的最初设计欠缺考虑，而且 Solidity编译器为了向前兼容，对这类安全问题仅采取警告提示，而开发者往往又很容易忽视这些提示，最终导致问题代码部署上线。

曲速区消息：Augur重大漏洞是一个典型的前端黑攻击

据区块链安全社区WF曲速区消息国内某团队在此前报道的去中心化预测市场平台 Augur 被曝发现重大漏洞问题是一个典型的前端黑攻击。这种攻击依赖一些条件，比如攻击者需要准备好一个页面链接（不是 Augur 链接），并能让安装了 Augur 的用户访问到，然后用户需要重启 Augur 应用，这样才能形成后续的攻击。由于此时 Augur 应用里配置的 Augur 节点地址被替换了，后续的攻击本质就是一种 MITM（中间人）攻击，理论上确实可以做很多恶事。曲速未来安全区团队特此提醒：这是前端黑攻击里的跨私有域攻击的一种常见手法，其他项目方也应该注意。

安全团队：已修复EOS智能合约底层asset类溢出缺陷 

据区块链安全社区WF曲速区消息， EOS智能合约底层asset类存在溢出缺陷，目前 EOSIO v1.1.4版本已修复该问题。如果智能合约中使用到了 asset的乘法操作，建议更新对应的代码并重新编译合约。因为像 asset这样的工具代码是静态编译进合约中的，必须重新编译才能解决其中的安全隐患。

智能合约随机数算法漏洞影响游戏公平性

据区块链安全社区WF曲速区消息，MyCryptoChamp游戏合约随机数“不随机”（CVE-2018-12885），影响游戏公平性。MyCryptoChamp合约的RandMod函数中使用合约的私有变量randNonce和父块哈希作为参数生成随机数，用户可以通过web3.eth.getStorageAt()函数获取randNonce的值，而父块hash在合约内外都可以读取到。攻击者可以利用获得的两者数值，通过外部合约计算出较理想的随机数，并在此时参与游戏，新的角色及物品属性就会按照该理想数值生成，进而影响游戏公平性，实现了以较小的成本（gas消耗）获得较大利益。根据Solidity官方建议，合约开发者可以使用链外的第三方服务，比如Oraclize来获取随机数。 提醒所有项目方，进行代码安全审计是项目上链前不可缺少的重要安全举措，必要时可以借助第三方专业审计团队的力量防患于未然。

腾讯安全：上半年区块链因安全问题损失超27亿美元

据腾讯科技消息，腾讯安全联合知道创宇近日发布《2018上半年区块链安全报告》。《报告》显示，基于区块链加密数字货币引发的安全问题来源于区块链自身机制安全、生态安全和使用者安全三个方面，这三方面原因造成的经济损失分别为12.5亿、14.2亿和0.56亿美元，共计高达27亿美元。总的趋势是，随着数字虚拟货币参与者的增加，各种原因导致的安全事件也显著增加。

本文由【BIA比特情报局】独家原创聚合，【BIA比特情报局】版权隶属于【黑猿比特】通证经济社区（Apes-Bit），转载请注明来自【BIA比特情报局】。欢迎微信关注公众号“BIA比特情报局”“黑猿比特”,知识星球请搜索“黑猿比特通证经济社区”。