安比实验室

https://secbit.io

专注于区块链与智能合约安全问题。

安比实验室简介

安比实验室专注于区块链与智能合约安全问题，全方位监控智能合约安全漏洞、提供专业合约安全审计服务，在智能合约安全技术上开展全方位深入研究，致力于参与共建共识、可信、有序的区块链经济体。

安比实验室创始人郭宇，中国科学技术大学博士、耶鲁大学访问学者、曾任中科大副教授，后担任知名金融科技公司副总裁。专注于形式化证明与系统软件研究领域十余年，具有丰富的金融安全产品研发经验，是国内早期关注并研究比特币与区块链技术的科研人员之一。研究专长：区块链技术、形式化验证、程序语言理论、操作系统内核。

【ERC20智能合约又现大量整数溢出漏洞】今日清华-360企业安全联合研究中心的张超教授团队披露了一系列ERC20智能合约整数溢出相关漏洞。安比实验室针对这些漏洞，对以太坊上已部署的23357个合约进行了分析检测，发现共有866个合约存在相同问题，统计如下：受“underSell:高卖低收”影响的共有288个；受“ownerUnderflow:下溢增持”影响的共有7个；受“mintAny:随意铸币“影响的共有563个；受“overMint:超额铸币”影响的共有3个；受“allocateAny:超额定向分配”影响的有1个；受” overBuy：超额购币”影响的共有4个。上述前5个漏洞皆属于特权漏洞，黑客攻击需要事先获取特权用户的私钥。

【动态 | zkSNARK合约“输入假名”漏洞致众多混币项目爆雷】据安比实验室消息，大量零知识证明项目由于错误地使用了某个zkSNARKs合约库，引入“输入假名 (Input Aliasing) ”漏洞，可导致伪造证明、双花、重放等攻击行为发生，且攻击成本极低。众多以太坊社区开源项目受影响，其中包括三大最常用的zkSNARKs零知开发库snarkjs、ethsnarks、ZoKrates，以及近期大热的三个混币（匿名转账）应用hopper、Heiswap、Miximus。事实上，所有使用了该zkSNARKs 密码学合约库的项目都应该立即开展自查，评估是否受影响。修复很简单。仅需在验证函数中添加对输入参数大小的校验，强制要求input值小于上面提到的q值。即严禁“输入假名”，杜绝使用多个数表示同一个点。所幸的是，目前常见的zkSNARKs合约库都火速进行了更新，从底层库层面杜绝“输入假名”。安比（SECBIT）实验室认为，底层库的更新诚然能够很大程度上消除掉后续使用者的安全隐患，但若该问题的严重性没有得到广泛地宣传和传播，依旧会有开发者不幸使用到错误版本的代码，或者是根据错误的教程进行开发，从而埋下安全隐患。

【国家区块链漏洞库《区块链漏洞定级细则》发布】9月27日消息，国家互联网应急中心联合长亭科技、链安科技、安比实验室和慢雾科技四家安全厂商，在CVSS2.0漏洞评分系统基础上，结合大量真实区块链漏洞案例，共同起草国家区块链漏洞库《区块链漏洞定级细则》，现向社会发布。《细则》整体分为《公链系统漏洞定级细则》、《联盟链系统漏洞定级细则》、《智能合约漏洞定级细则》、《外围系统漏洞定级细则》，主要依据“危害程度”和“利用难度”等方面分析，将漏洞分为高、中、低三个威胁等级，且每种危害和难度的描述中都罗列了非常详细的参考条目，基本涵盖了区块链领域可能遇到的大部分漏洞情况，可以帮助使用者快速定位和分析漏洞。同时依托 CVSS2.0，力争实现与传统基础领域漏洞规则的互通，从大网络安全的角度打通区块链新兴领域与传统领域对于漏洞的认知和定义。（国家区块链漏洞库官网）}

【动态 | 11月以太坊智能合约创建数较上月下跌42%】据安比实验室数据显示，2018 年11月份以太坊主网智能合约创建总量为 58,490，较上个月大幅回落，跌幅达 42%。11月创建合约数量排名第一的为「0x9862D074e33」开头的地址，共创建合约 7,098 个。该地址似乎始终处于极度活跃状态，曾连续多月大量创建合约。经逆向分析，该地址创建合约字节码完全一致，疑似为多重签名钱包合约。此外，集中查看ERC20 Token合约的创建情况数量变化趋势发现，ERC20 合约创建数量为6,392，与上个月的创建总数（6,282）基本持平，维持近10个月低位，创建热度依然无任何回升迹象。

标签：安比实验室